Redes Sociales y Protección de Datos

Algunas reflexiones sobre la charla realizada en Sant Joan d’Alacant el pasado miércoles 20 de enero sobre Redes Sociales y Protección de Datos. Aprovecho la ocasión para agradecer a la Cadena SER, Radio NOU y Radio Nacional que, en sus ediciones locales, han dado cuenta de los objetivos de esta charla y de su carácter novedoso en Alicante. Esperemos que otras instituciones públicas se hagan eco de estas necesidades de información.

Para empezar, el público asistente.

Estaba compuesto por madres y padres preocupados por estas tecnologías y, sobre todo, preocupados sobre cómo éstas pueden afectar a la vida de sus hijos. También había profesores que querían saber más sobre el tema de conversación más utilizados por sus alumnos. Pero quizás la presencia más interesante para el debate ha sido la de unos adolescentes preguntones que, movidos por su interés, no paraban de animar el cotarro (en el mejor sentido de la expresión). Éstos son los que más me han preguntado y los que más me han ayudado a dar una perspectiva real del uso de las redes sociales por parte de los adolescentes.

He intentado huir como he podido de toda explicación sociológica del fenómeno de las redes sociales, básicamente porque no está a mi alcance dar este tipo de información y porque he preferido centrarme en algo que conozco mejor, que es el conocimiento de las herramientas jurídicas útiles para la defensa del derecho a la privacidad.

Si bien todos los asistentes tenían claro qué era «un facebook» y qué era «un tuenti«, muy pocos conocían, por ejemplo, la LOPD o la existencia (y la función) de la Agencia Española de Protección de Datos.

¿Una nueva forma de brecha digital? Puede ser. El caso es que, en una misma charla, me he encontrado por lo menos con otras dos acepciones de este término:

a. la diferencia entre generaciones en el uso de las tecnologías de la comunicación y la información; y

b. la diferencia en la percepción de la importancia de la privacidad entre las generaciones de mayores y de los adolescentes.

Otra sorpresa agradable es que, a pesar de las preocupaciones sobre estas herramientas de comunicación, en ningún momento ha habido la tentación de prohibir el uso de estas herramientas. Mi impresión es que los asistentes reconocían que las redes sociales ya formarían parte de la vida de sus hijos/alumnos y que era mejor aprender a usarlas, antes de intentar una defensa numantina frente a ellas.

De esta forma, nos hemos acercado a las soluciones, es decir, al qué hacer cuando estas redes (o los usuarios de las mismas) invaden nuestra privacidad.

No soy partidiario de resolver los problemas por la vía contenciosa, así que he mencionado el servicio de mediación propuesto por el Ayuntamiento de Sant Joan d’Alacant en esta materia. Creo que se trata de un servicio pionero en su género, que tiene como objetivo el de mediar en los conflictos entre adolescentes cuando éstos (los conflictos) se manifiestan a través de foros, mensajería instantánea o redes sociales.

Evidentemente, también hay que tener en cuenta los casos en los que la mediación no da sus frutos y, en ese caso, recurrir a las medidas legales que amparan los derechos a la privacidad, honor, intimidad y a la protección de datos.

Una última nota: dejo el link a un vídeo realizado por The Data Inspectorate of Norway, en colaboración y traducido y adaptado por la Agencia Vasca de Protección de Datos sobre los peligros de las redes sociales. El link se cuelga docendi causa y, si hay que quitarlo por motivos de derechos de autor, SGAE, etc., pues, lo quitamos.

La protección dental y la protección de datos

Es de hoy la noticia según la cual una cadena de clínicas dentales han cerrado sin atender los compromisos con sus clientes.

Clama al cielo que estos señores se hayan esfumado con el dinero de las curas pagadas por adelantado y sin haber concluido los tratamientos de los pacientes. Alguna que otra dentadura postiza seguirá en las estanterías y los pacientes volviendo a repetir el tratamiento (y a pagarlo).

Que los afectados no se olviden que nadie sabe dónde están sus historias clínicas. Casi me atrevo a apostar a que, tarde o temprano, éstas aparecerán en algún contenedor de la basura y de la protección de datos que se encargue el servicio de limpieza. Antes de que sea demasiado tarde, espero que los afectados se dirijan a la Agencia Española de Protección de Datos y que les pongan en conocimiento de los hechos.

Viejo refrán popular: lo barato sale caro y más en tiempo de crisis. Cuidado con los dientes y con los datos.

Una charla con amigos, la e-Administración y la LOPD – 2ª Parte

Antes de seguir con la documentación sobre el SIGEM 1.7, voy a apuntar las reflexiones sobre el régimen sancionador en materia de protección de datos, para los Responsables de Ficheros públicos, que quedaron pendiente de resumir.

Después de haber recordado rápidamente la clasificación de las infracciones previstas en el artículo 44 LOPD (apartados 2 como leves, 3 como graves y 4 como muy graves), empezamos a ver qué pasa si un Ayuntamiento, por ejemplo, es sancionado por la Agencia Española de Protección de Datos (AEPD).

Analizando algunas de las resoluciones sancionatorias del último año, veíamos como todas terminaban con un reproche y con una advertencia a que los infractores tomasen las oportunas medidas de seguridad para que el incidente no se volviera a repetir.

Y ya está.

Es decir, aunque las sanciones fueran por infracciones muy graves, todo terminaba en un: «Chico malo, no lo vuelvas a hacer«. A todas luces, el poder coercitivo de estos reproches parecía un poco escaso. He hablado yo con algunos alcaldes que, sin el menor reparo, han hecho delante de mis narices la siguiente cuenta:

• Adecuar mi Ayuntamiento a la LOPD me cuesta X;
• Las sanciones que me pueden «caer» me costarían «0» (cero);
• X es mayor de cero;
• Ergo, ese dinero lo meto en las fiestas del pueblo, que me salen más a cuento. «Gracias por haber venido«.

Los que se dedican a esto de la Protección de Datos, pues, andamos desde siempre un poco moscas por la disparidad de trato (entre entes públicos y privados) en el régimen sancionador, así que, como chamanes invocando justicia divina, esperábamos que, algún día, un tribunal se decidiera a aplicar lo previsto en el artículo 19 LOPD. Esto es, antender a los interesados que, habiéndose visto perjudicados por una infracción de la LOPD, vieran reconocidos los daños y perjuicios padecidos a raíz de esta infracción, y pudieran pedir responsabilidad patrimonial a la Administración infractora.

Gracias a los amigos del Departamento de Derecho Administrativo de la Universidad de Murcia (y a su siempre interesante foro de discusión), me enteré de la Sentencia n. 1932/2003, de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Extremadura, que sí había antecedentes de Responsabilidad Patrimonial. En el caso en cuestión, se había condenado a la Concejería de Bienestar Social a pagar 6.000€ por haber una infracción a la LOPD, sancionada con anterioridad por la AEPD.

«Eppur si muove«.

«Oiga, y ya puestos a pedir, para frenar los desmanes de las Administraciones Públicas en protección de datos, ¿no se podrían explorar las vías penales?»

Y eso nos pusimos a hacer en la parte final de la charla.

Y empezamos por el artículo 199 (la aplicación del artículo 197 requiere dolo, y eso ya me parece desproporcionado, como caso de estudio).

Comportamiento relevante penalmente:

1. estar al cargo de la custodia/tratamiento de información personal que debe mantenerse en secreto (toda información personal)
2. revelar esta información

Como las revelaciones pueden ser por dolo o por culpa (negligencia, impericia, imprudencia), pues, el fantasma de una condena a prisión de uno a tres años empezaba a preocupar a los asistentes a la charla.

Francamente, espero que algún penalista que tenga ganas (y paciencia), me aclare si este análisis propuesto es muy descabellado, así espantamos a nuesto

De hecho, las cosas se complican si el que llevara a cabo el comportamiento delictivo fuera un «profesional». Por ejemplo, un Responsable de Seguridad, que se verá condenado con prisión de 1 a 4 años e inhabilitación especial para la profesión de 2 a 6 años.

Y eso que no nos dio tiempo a ver los detalles del Título XIX, de los Delitos contra la Administración Pública, Cap. IV – De la infideliad en la custodia de documentos y de la violación de secreto. De entrada, volvimos a descartar los artículos que penaban los comportamientos dolosos (artículos 413, 414 y 415), pero nos volvimos a topar con el inquietante artículo 417.

En ese punto, tocó la campana y la gente se marchó a su casa, pero ya había entrado de lleno en las preocupaciones de los Responsables de Seguridad.

SIGEM – 4ª Parte (para acabar el Registro)

Para ir terminando sobre el funcionamiento del Registro en el SIGEM, echamos un vistazo a la posibilidad de dar de alta a los interesados.

Para empezar, existe la posibilidad de extraer una lista de personas desde un dominio de valores. Si no he entendido mal el lenguaje técnico, esto significa que puedo extraer, por ejemplo, la base de datos del Padrón Municipal de Habitantes (PMH) de mi Ayuntamiento y ponerlo en el listado de interesados. De esta forma, me evitaré tener que rellenar, de uno en uno, todos los valores de los datos personales de los interesados.

¿Y qué dice la Protección de Datos sobre todo esto? Quiero decir, ¿puedo sacar los datos del Padrón Municipal para completar el listado de interesados en los procedimientos administrativos? Además, ya puesto, podría volcar en el Registro los datos de los vecinos del pueblo de al lado ya que, cada vez más, estos «foráneos» realizan trámites en el municipio donde yo trabajo.

En teoría, también podría extraer el listado de interesados de la base de datos de entidades sujetas al I.A.E., siempre por el mismo motivo, economizar esfuerzos y usar los datos que ya han sido recopilados.

Estas alternativas de «extracción de datos» presentan algunos inconvenientes que paso a analizar someramente, ya que la Agencia Española de Protección de Datos viene destripando el asunto ya desde hace algunos años.

Para empezar: ¿puedo pedir a la oficina del Padrón Municipal que «ceda» al Registro los datos de los vecinos del mismo Ayuntamiento?

Veamos que dice la Ley sobre la Cesión. Según el art. 3.i) LOPD, por cesión o comunicación de datos se entiende toda revelación de datos realizadas a una persona distinta del interesado. Pero, ¿la comunicación del PMH al Registro es cesión o no? ¿No pertenecen las dos secciones al mismo ayuntamiento, es decir, a la misma persona jurídica? Si así fuera, no habría cesión y los datos podrían extraerse desde el PMH y pasarlos al Registro sin el menor problema jurídico de respeto a la LOPD.

De esta interpretación queda fuera la posibilidad de ceder los datos del PMH del Ayuntamiento A, al Registro del Ayuntamiento B. Esa sí que sería una cesión y tendría que ir a través de los cauces fijados por la AEPD.

En todo caso, incluso si admitimos que no hay cesión y que, dentro del mismo Ayuntamiento, trasvasamos los datos del PMH a la base de datos de los interesados, dentro de la aplicación del Registro, también tendríamos un problema de carácter práctico.

Ejemplo: los datos del PMH pueden no ser útiles para el Registro ya que el interesado quiere ser notificado, por el motivo que sea, en una dirección distinta a la que figura en el Padrón.

Además, deberíamos estar comprobando cada cierto tiempo que las bases de datos del Registro y las del PMH sean idénticas, porque, por ejemplo, yo puedo estar empadronado en la Calle Mayor en enero, y solicitar en febrero la licencia de vado para mi vivienda que acabo de adquirir en la Calle Menor, donde viviré a partir de marzo. Eso obliga a que las dos bases de datos se comparen con una cierta frecuencia para poner al día los datos.

La puesta al día de los datos, recordémoslo, es otra de las obligaciones legales impuestas por la LOPD (art. 4.3). Además, ¿cuándo es «cada cierto tiempo»? y ¿por qué las dos bases de datos deben ser iguales?

Todos estos interrogantes, de difícil solución (yo, por lo menos, no la tengo), me hacen plantear la solución más sencilla: que el Registro no coja los datos personales de ningún «dominio de valores» y que se introduzcan a mano (o escaneados desde las instancias/solicitudes).

Una última cosa: en el procedimiento de alta de nuevos interesados, espero sólo que no sea necesario rellenar el campo del segundo apellido. Si no, los extranjeros tendremos el mismo problema que tengo yo con el Carrefour: para todo el mundo, soy Amedeo Maturo, menos para esta cadena de supermercados, para la cual soy Amedeo Maturo «Segundo Apellido inventado».