martes, 2 de diciembre de 2008

Protección de datos personales y Administración electrónica

Llevo ya un tiempo dándole vueltas a este asunto, sobre todo con ocasión de alguna conversación -presencial- con Samuel Parra, cuyo blog sobre protección de datos os recomiendo especialmente. Y cada vez tengo más claro que el anvace de la Administración electrónica en España, a pesar de que toda generalización es injusta, se está produciendo en gran medida a costa de la protección de los datos personales de los ciudadanos. Insisto, hay excepciones ciertamente loables, como la Recomendación 2/2008, sobre publicación de datos en boletines y diarios oficiales en Internet y sitios webs institucionales, y la Recomendación 3/2008, sobre tratamiento de datos en servicios de Administración electróncia, ambas de la Agencia de la Comunidad de Madrid, que ha establecido una serie de criterios orientativos cuya eficacia directa, no obstante, se limita al ámbito de las Administraciones Públicas que se encuentran bajo su competencia.

En fin, valgan una serie de botones como muestra de esta preocupación:

- Hace ya algún tiempo que junto con Daniel Sánchez publicamos un trabajo en Datospersonales.org (acceso al texto) sobre las implicaciones que para este derecho fundamental tiene el proceso de comprobación del estado de revocación de los certificados, así como los potenciales acopios informativos que puede hacer el responsable del fichero, esto es, la Dirección General de Policía. No digo que estén utilizando la información así obtenida, pero una vez que está almacenada...

- Asimismo, la firma electrónica de los documentos administrativos supone un tratamiento de más datos personales que los que implica la firma manuscrita en soporte papel, singularmente los datos que ofrece el certificado electrónico asociado a los servicios de firma electrónica (pe.: número del DNI del firmante, dirección de correo-e...)

- Por lo que se refiere a la difusión de información administrativa usando medios electrónicos, hoy día resulta ciertamente sencillo hacer búsquedas a través de los buscadores para saber si una persona determinada ha sido sancionada por una Administración: basta con que no estuviera en su domicilio las dos veces que, según la Ley, ha de intentarse la notificación personal. Y ahí tenemos el famoso caso del profesor de secundaria sorprendido haciendo aguas menores en la vía pública, cuyos alumnos dieron con la información simplemente utilizando Google.

- Por no hablar de la cuestión relativa a la falta de implementación de las medidas de seguridad previstas por el Real Decreto 1720/2007, de desarrollo de la LOPDP, en los servicios de Administración electrónica, lo que resulta especialmente grave cuando el cotilleo es uno de los deportes nacionales...

En fin, creo que la LAE ha perdido una magnífica ocasión de haber obligado a que cualquier procedimiento de Administración electrónica requiera, como trámite inexcusable, la elaboración de un informe sobre su impacto en el derecho de los ciudadanos a la protección de los datos personales, al igual que se exige, por ejemplo, en cuanto a su simplicación (art. 34). Eso sí, siempre que dicho precepto hubiera sido considerado básico por el legislador estatal a los efectos de imponer su cumplimiento a TODAS las Administraciones, no como sucede actualmente a tenor de lo previsto en la disposición final primera.

10 comentarios:

  1. Veo que te estás quitando el gusanillo de bloguear. Pues ten cuidado que esto es muy adictivo ;-).

    En estos dos posts que has publicado en esta "nueva etapa" has puesto el foco en dos temas claves de la Administración electrónica: el archivo y la protección de datos personales. Seguro que vamos a tener ocasión de conversar sobre ellos.

    Fue un placer compartir aquellas horas con vosotros en Murcia. Me supieron a poco. Pero así me quedo con las ganas de volver ;-).

    ResponderEliminar
  2. pues nada, seguro que en breve tendremos una nueva excusa: apúntate las fechas previstas para el SICARM de este año, que seguramente versará sobre estos temas: 12-15 mayo 2009

    ResponderEliminar
  3. Me alegra poder comentarte que en la última reunión del Subcomité 27 de ISO en relación a la serie 27001 destinada a "seguridad de la información" ya se ha tratado el tema y se anuncia una futura ISO/IEC 27012 Information technology -- Security techniques -- Information security management systems guidelines for electronic government que aún está muy verde y cuyo titulo final podría cambiar. Básicamente lo que se está haciendo en la materia es elaborar normativas con medidas de seguridad específicas para sectores con problemáticas concretas. El primer paso que ya ha dado con estandar al uso afecta al sector sanitario y tiene su norma específica que es ISO 27999:2008. Puedes ampliar información en http://sgsi-iso27001.blogspot.com/2008/11/la-seguridad-de-la-informacion-en-el.html
    Un saludo,

    ResponderEliminar
  4. Julián, por si te interesa, Amedeo Maturo también comparte tus inquietudes sobre la protección de datos y la gestión documental.

    Ya tengo apuntados los días del SICARM. Estaré atento a la web del evento. Y después a ver si todo sale bien para poder ir ;-).

    Por cierto, escribí una pequeña reseña sobre la jornada del otro día.

    ResponderEliminar
  5. Interesante noticia Javier, aunque desde el más puro desconocimiento tecnológico, me da la impresión de que esta norma llega un poco tarde... Sobre todo teniendo en cuenta lo verde que parece que está. ¿Tienes idea de cuánto tiempo tardan en aprobar este tipo de guías?

    ResponderEliminar
  6. Pues siendo ISO y considerando que acaban de pensar en que sería necesaria, creo que la estimación más optimista puede ir a cinco años.
    Comparto contigo esa impresión y observo con preocupación cómo no se están haciendo consideraciones que podrán pasar una cara factura en el futuro. Es una opinión personal, pero estamos en temas de administración electrónica y seguridad ahora en una situación a como estaba la banca hace seis años cuando se les hablaba de autenticación fuerte y firma digital para evitar la suplantación de identidades en sus servicios de banca online. O se reían o te cerraban la puerta por paranóico.

    Por otro lado, dan mucha envídia otros paises y organizaciones donde primero se piensa y luego se actua. Como ejemplo, se puede poner el plan estratégico de Nueva Gales del Sur, que se puede consultar en (http://www.gcio.nsw.gov.au/ict-strategic-plan) y que en materia de seguridad de la información tiene un enfoque impecable (http://www.gcio.nsw.gov.au/library/guidelines/791/)

    Tengo la sensación de que se están tomando decisiones operativas sin contar (como siempre) con quien las tiene que luego implantar que en este caso son los departamentos y servicios de informática que den soporte a la E-Administración. Así nos va...

    ResponderEliminar
  7. El tratamiento de los datos incluidos en una e-firma conlleva la recopilación de más datos personales, con respecto a una firma "normal". Es cierto, pero el tratamiento de datos "más intenso" sigue las normas sobre la proporcionalidad de la información tratada. Es decir: el medio es distinto y, cosa más importante, el "momento" es distinto. De ahí, la diferencia de tratamientos de los datos.
    Hace 20 años todo esto no existía y ahora nos toca dar seguridad jurídica a instituciones (como la representación, por ejemplo) que llevan funcionando con pequeños cambios desde hace 2000 años.
    Estas confusas aportaciones espero puedan indicar lo siguiente:
    1. La firma tradicional tiene su régimen jurídico establecido y aceptado socialmente; la e-firma es demasiado nueva para que el legislador "ahora" no la revista de más formalidades de las necesarias. ¿Eso implica un tratamiento de demasiados datos? Puede, pero "ahora" este tratamiento es proporcional, dentro de 10 años, ya veremos.
    2. Mi nombre todavía aparece asociado a una sanción de tráfico de 1999, vulnerando el principio de la calidad de los datos. En realidad, el problema es de la reforma pendiente del sistema de "notificaciones tradicionales", pero ahí no podía haber entrado la Ley 11/2007.
    3. La falta de seguridad de la información en la Administración Pública depende seguramente de las imprecisiones del RD 1720/2007, pero depende más de las prioridades de la misma Administración. En el último INFOCALDERO del Ayuntamiento de El Campello todos decían: "Mi Concejal me ha dicho que tengo que cumplir la ley, debo cumplir la ley, de verdad que debería hacerlo, pero nos sale más barato incumplir la LOPD y la Ley 11/2007".
    4. Demasiado "entrecomillado" es síntoma del escaso dominio de la correcta terminología jurídica. Perdón.

    ResponderEliminar
  8. Interesantes reflexiones, Amadeo, aunque algunas no las comparto. Veamos:

    1. Considero desproporcionado que un documento firmado con el DNI-e deje a la vista la fecha de nacimiento del usuario o, entre otra información, el resumen de un dato biométrico como su huella dactilar.
    2. De acuerdo con el tema del tráfico, aunque la Ley 11/2007 sí podría haber especificado ciertas medidas de seguridad adaptadas el entorno al regular los tablones y los diarios oficiales (pe.: que no se puedan indexar en buscadores)
    3. En cuanto a la falta de preocupación en las Administraciones y, sobre todo, los responsables políticos, cuando un abogado avezado empiece a tirar el art. 197.2 del Código Penal, ya veremos qué sucede. A ver si tiene que ocurrir como en el urbanismo, donde el Derecho Penal parece haber llegado para quedarse, al menos una temporada...

    ResponderEliminar
  9. Prometo estudiar el asunto y aportar las conclusiones sobre los puntos en los que no estamos de acuerdo, es decir, la proporcionalidad de los datos presentes en el eDNI.

    ResponderEliminar
  10. Interesante y trabajada reflexión, Amadeo. ¡Me alegro de haber suscitado el debate! Al hilo de un intervención en tu blog (http://amedeomaturo.wordpress.com/2008/12/17/e-dni-e-administracion-y-proteccion-de-datos/#comment-77), me gustaría hacer algunas puntualizaciones, comenzando por el sentido de mi reflexión inicial.

    En concreto, yo no discuto que el chip del DNI-e tenga que llevar lo que tenga que llevar: el problema en este caso es quién pueda acceder a qué información, de manera que lo relevante serían las medidas de seguridad. Por lo tanto, nada que objetar desde este punto de vista.

    El problema viene, por el contrario, en relación con el contenido del certificado, que es lo que se incorpora al documento firmado. Aunque no soy técnico, según tengo entendido la imagen digitalizada y los datos de filiación NO están dentro de los certificados, y por tanto no se incluyen en los formatos de firma. Por el contrario, la fecha de nacimiento y el resumen "digital" de la huella dactilar SÍ y, por tanto, cualquier documento firmado por nuestro DNI-e dejaría a la vista esta información a cualquier persona que lo reciba.
    Desde este punto de vista, por mucho que se pueda alegar que el consentimiento lo puede todo, en mi opinión se estará vulnerando el principio de calidad de los datos (art. 4 LOPDP) por cuanto se trata de información manifiestamente innecesaria para la finalidad pretendida. Y el consentimiento podría ser inválido, por no entrar en la cuestión relativa a si existe información en términos comprensibles para los ciudadanos cuando se sacan el DNI-e...

    ResponderEliminar