Posts Tagged ‘Protección de Datos’

h1

Protección de Datos y e-Administración

diciembre 11, 2008

Creo que hay un “gran olvidado” en el tratamiento de los temas relacionados con la Administración Electrónica: la Protección de Datos. En más de una ocasión he hecho referencia a la Ley 15/99, pero siempre de pasada y quizás haya llegado la hora de prestarle la debida atención.

En la decisión de dedicar un post a la Protección de Datos ha influido también la última edición de Infoc@ldero, una simpática iniciativa del Ayuntamiento de El Campello y, en particular, de los técnicos informáticos de la Concejalía de Nuevas Tecnologías. Es mérito de estos últimos si, después de las reflexiones profesionales, hemos podido charlar distendidamente de lo divino y de lo humano y hasta de la vida diaria de los Ayuntamientos.

En su 8ª edición que se ha celebrado el pasado 28 de noviembre, he tenido la ocasión de charlar muy rápidamente  (¡una vez más!) sobre la LOPD. El público, constituido casi exclusivamente por técnicos informáticos de la Provincia de Alicante, no creo que deseara una ponencia sobre las interpretaciones legales de la Ley 15/1999, ni de su Reglamento de Desarrollo, así que he optado por describir la situación actual de las Administraciones Locales a través de mi experiencia profesional y haciendo algunas preguntas (¿malintencionadas?).

Las respuestas recibidas han reforzado lo que yo he estado observando a lo largo de los últimos años. Cuando he preguntado a los casi 100 asistentes cuántos habían superado la Auditoría en materia de Protección de Datos en los últimos dos años, sólo se han levantado tímidamente unas 5 manos (y soy generoso).

El resultado es, francamente, descorazonador. A ver si en este blog tengo un resultado más alentador con esta encuesta (por cierto, a través de ella no se recaban datos personales):

¿Cómo es posible que los Ayuntamientos se estén preguntando qué hacer en materia de Administración Electrónica, si no saben cuál es el punto de partida? Además de ser un deber legal, la Auditoría sirve también para saber dónde y cómo estamos. Sólo así, sabremos hacia dónde dirigirnos.

Además, la Ley 11/2007 está repleta de referencias a la importancia de la LOPD para los proyectos de e-Administración. Sin contar con la Exposición de Motivos, he contado por lo menos 10 artículos que obligan a observar los principios de la LOPD en los procesos de modernización (o como se les quiera llamar) de las Adminsitraciones Públicas.

Estando así las cosas, casi es preferible no tener herramientas que permitan un rápido y eficaz tratamiento de los datos de los ciudadanos (que son los que conforman la inmensa mayoría de los expedientes administrativos), si estas herramientas no respetan los principios previstos en el art. 18 de la Constitución.

En todo caso, en algún descanso del estudio del SIGEM, me pondré manos a la obra para ver algunos aspectos de la LOPD que afectan de lleno a la implantación y al desarrollo de la Administración Electrónica.

h1

SIGEM – 4ª Parte (para acabar el Registro)

noviembre 12, 2008

Para ir terminando sobre el funcionamiento del Registro en el SIGEM, echamos un vistazo a la posibilidad de dar de alta a los interesados.

Para empezar, existe la posibilidad de extraer una lista de personas desde un dominio de valores. Si no he entendido mal el lenguaje técnico, esto significa que puedo extraer, por ejemplo, la base de datos del Padrón Municipal de Habitantes (PMH) de mi Ayuntamiento y ponerlo en el listado de interesados. De esta forma, me evitaré tener que rellenar, de uno en uno, todos los valores de los datos personales de los interesados.

¿Y qué dice la Protección de Datos sobre todo esto? Quiero decir, ¿puedo sacar los datos del Padrón Municipal para completar el listado de interesados en los procedimientos administrativos? Además, ya puesto, podría volcar en el Registro los datos de los vecinos del pueblo de al lado ya que, cada vez más, estos “foráneos” realizan trámites en el municipio donde yo trabajo.

En teoría, también podría extraer el listado de interesados de la base de datos de entidades sujetas al I.A.E., siempre por el mismo motivo, economizar esfuerzos y usar los datos que ya han sido recopilados.

Estas alternativas de “extracción de datos” presentan algunos inconvenientes que paso a analizar someramente, ya que la Agencia Española de Protección de Datos viene destripando el asunto ya desde hace algunos años.

Para empezar: ¿puedo pedir a la oficina del Padrón Municipal que “ceda” al Registro los datos de los vecinos del mismo Ayuntamiento?

Veamos que dice la Ley sobre la Cesión. Según el art. 3.i) LOPD, por cesión o comunicación de datos se entiende toda revelación de datos realizadas a una persona distinta del interesado. Pero, ¿la comunicación del PMH al Registro es cesión o no? ¿No pertenecen las dos secciones al mismo ayuntamiento, es decir, a la misma persona jurídica? Si así fuera, no habría cesión y los datos podrían extraerse desde el PMH y pasarlos al Registro sin el menor problema jurídico de respeto a la LOPD.

De esta interpretación queda fuera la posibilidad de ceder los datos del PMH del Ayuntamiento A, al Registro del Ayuntamiento B. Esa sí que sería una cesión y tendría que ir a través de los cauces fijados por la AEPD.

En todo caso, incluso si admitimos que no hay cesión y que, dentro del mismo Ayuntamiento, trasvasamos los datos del PMH a la base de datos de los interesados, dentro de la aplicación del Registro, también tendríamos un problema de carácter práctico.

Ejemplo: los datos del PMH pueden no ser útiles para el Registro ya que el interesado quiere ser notificado, por el motivo que sea, en una dirección distinta a la que figura en el Padrón.

Además, deberíamos estar comprobando cada cierto tiempo que las bases de datos del Registro y las del PMH sean idénticas, porque, por ejemplo, yo puedo estar empadronado en la Calle Mayor en enero, y solicitar en febrero la licencia de vado para mi vivienda que acabo de adquirir en la Calle Menor, donde viviré a partir de marzo. Eso obliga a que las dos bases de datos se comparen con una cierta frecuencia para poner al día los datos.

La puesta al día de los datos, recordémoslo, es otra de las obligaciones legales impuestas por la LOPD (art. 4.3). Además, ¿cuándo es “cada cierto tiempo”? y ¿por qué las dos bases de datos deben ser iguales?

Todos estos interrogantes, de difícil solución (yo, por lo menos, no la tengo), me hacen plantear la solución más sencilla: que el Registro no coja los datos personales de ningún “dominio de valores” y que se introduzcan a mano (o escaneados desde las instancias/solicitudes).

Una última cosa: en el procedimiento de alta de nuevos interesados, espero sólo que no sea necesario rellenar el campo del segundo apellido. Si no, los extranjeros tendremos el mismo problema que tengo yo con el Carrefour: para todo el mundo, soy Amedeo Maturo, menos para esta cadena de supermercados, para la cual soy Amedeo Maturo “Segundo Apellido inventado”.

h1

SIGEM – 3ª Parte (más sobre el Registro)

noviembre 12, 2008

Con la ausencia de periodicidad fija que es ya una de las características de este blog, paso a revisar las características del uso práctico del Registro del SIGEM.

Para empezar, el usuario se encuentra con una interfaz en la URL principal de la aplicación donde introduce la clásica combinación de usuario y contraseña.

Merece la pena subrayar algunas cuestiones de seguridad que, aunque sean básicas, no dejan de ser importantes.

La primera es que, al tratarse de una aplicación on line, los usuarios de la aplicación deberían (de vez en cuando) comprobar que la dirección a la que se conectan es la verdadera y no es una dirección pirateada. Reconozco que la terminología técnica no es la más apropiada, pero este blog se dirige a usuarios de aplicaciones informáticas, y no a expertos ingenieros.

Por lo tanto, el usuario tiene que comprobar que el certificado de seguridad de la dirección a la que se conecta, se corresponda al de esa dirección. Eso se hará con un doble click en el icono del candado amarillo que suele aparecer en la parte baja de la pantalla, a la derecha. Sólo de esa forma, se podrá comprobar fehacientemente la autenticidad de la URL.

Además, el usuario tiene la posibilidad de cambiar la contraseña la primera vez que se conecte. Se aconseja al personal que se vaya familiarizando con ese procedimiento, ya que tendrá que cambiar muchas veces la seguridad de su contraseña a lo largo de su vida laboral.

En este momento sería preferible que el Responsable de Seguridad, que es esa figura mencionada por la Ley Orgánica de Protección de Datos (LOPD), instruya a los usuarios sobre algunos aspectos básicos de la seguridad de la contraseña. A saber:

– longitud mínima de 8 caracteres;

– introducir mayúsculas, minúsculas, números y signos ASCII;

no apuntar la contraseña en un lugar visible;

– que la contraseña no sea de fácil deducción (nombre del perro, un familiar, la matrícula del coche, la fecha de la boda, vamos, lo que todo el mundo pone);

no compartir la propia contraseña con el resto de usuarios;

– realizar cambios de la contraseña con una cierta periodicidad (como mínimo, una vez al año).

Todas estas normas de seguridad no son el fruto de los caprichos paranoicos del Responsable de Seguridad, sino que responden a las necesidades legales previstas también en el artículo 93 del R.D. 1720/2007. Casi de pasada, hay que recordar que ningún procedimiento de implantación de Administración Electrónica se puede llevar a cabo si no se ha realizado previamente una correcta implantación de la Protección de Datos de Carácter Personal. Por cierto, ¿habéis recibido formación por parte del Responsable de Seguridad de vuestra empresa/entidad pública?

Más utilidades del Registro, una vez que el usuario haya entrado correctamente en el sistema.

Para empezar, tiene un sistema de búsqueda, que permite encontrar (y, eventualmente, imprimir) los registros, de manera intuitiva, buscando por número, fecha de registro, usuario, origen o destino.

Una opción del Registro que no me ha convencido es la opción de “Edición“. Con esta opción, una vez encontrado un documento registrado (de entrada o salida), el usuario puede modificar un documento que haya pasado por el Registro, modificando los campos “Origen” o “Destino”. Me pregunto: si un e-documento llega al Registro electrónico desde, pongamos, el Ayuntamiento de Madrid, ¿por qué el usuario podrá modificar el origen del mismo?

Entiendo que los campos de edición estén pensados para remediar a pequeños errores o despistes, pero ¿es necesario editar el campo de “Origen”? ¿Todos los usuarios podrán editar estos campos? ¿Yo puedo editar lo que ha registrado mi compañero? ? ¿Lo tendrá que hacer el superior jerárquico? Estas mismas preguntas se ponen a la hora de “validar” los órganos de Destino o de Origen, es decir, de dar de alta el listado de entes públicos o privados desde donde se recibirán los documentos.

Llega el momento de dar de alta un nuevo Registro de entrada y el usuario tiene la opción, entre otras, de dar de alta también los documentos anexos al principal, bien capturándolos como documentos electrónicos, bien digitalizando documentos físicos. Bueno, en este último caso, habrá un poco de cola en el Registro, pero merece la pena esperar un rato, mientras la Administración recibe nuestros “papeles” y los digitaliza y guarda para siempre. Sólo esperaremos que el escáner sea rápido y que no nos rompan las hojas. Lo dicho, un poco de paciencia.

Una vez que los “papeles han sido recibidos”, el usuario puede imprimir un “certificado de registro” que, presumiblemente, servirá al ciudadano (o, en general, a quien haya presentado la instancia) a tener una prueba de la presentación.

h1

Más vídeos, pero esta vez, de Protección de Datos

noviembre 4, 2008

Este vídeo es muy interesante. En muchos casos, me he sentido identificado con uno de los personajes (el de la camisa blanca), intentando explicar la importancia de la Protección de Datos de Carácter Personal en algunas charlas y conferencias.

Los protagonistas de la historia pertenecen a una empresa privada pero, en mi experiencia, puedo asegurar que los funcionarios y el personal laboral de algunas administraciones locales lo hacen hasta peor.

La única pega de este vídeo es que dura 22 minutos. En todo caso, me parece una muy buena inversión de tiempo para la formación, sobre una materia tan importante como la Protección de Datos.

Dudo que algún jefe sea tan estúpido como para no entender la importancia de estos 22 minutos y “cortaros” la visión.

Este vídeo es una iniciativa de la Agencia Vasca de Protección de Datos, que ha adaptado al castellano y al euskera un vídeo de su homóloga inglesa. El Departamento de Formación, Información y Documentación de la Agencia Vasca invita a la mayor difusión de este vídeo, cosa que se hace, con mucho gusto, desde este blog.