Mediante esta comunicación se pretenden plantear cuestiones con relación a supuestos concretos del tratamiento de datos por las administraciones públicas para que sirvan de punto de partida en el debate sobre la utilización de los datos en la práctica por las organizaciones públicas. Es por ello que el formato empleado es el de mero planteamiento de las cuestiones, sin pretensiones de rigor doctrinal o científico, y basadas en una experiencia práctica de situaciones reales que despiertan estas inquietudes que se plantean. La meta propuesta es que a lo largo del desarrollo del Congreso se vayan.

Palabras clave:

 · administración pública

 · ética

 · identidad

 · privacidad

 · propiedad de la información/conocimiento

Asistimos progresivamente –lo que bajo mi punto de vista es muy positivo– a un paulatino incremento de los procedimientos administrativos que se pueden iniciar por vía telemática. Por ejemplo, las declaraciones tributarias del impuesto sobre la renta, determinadas solicitudes en materia de corporaciones locales (ayuntamientos), declaraciones a efectos de cotizaciones de trabajadores, registros públicos, etc.

Los datos que se aportan en dichas transmisiones son altamente sensibles, en muchas ocasiones. La información que viaja por la red nos puede permitir conocer detalles realmente íntimos de las personas.

Ante esto, nos encontramos con el problema de la seguridad del viaje y almacenamiento de la información. Está claro que la inversión en seguridad debe de ser una prioridad de la Administración. Las "medidas de seguridad digitales" deben de ser tan importantes como lo son los sistemas de alarma y vigilantes que se ubican en los espacios físicos donde se encuentra la documentación administrativa.

Desde aquí queremos lanzar a debate si por parte de las administraciones se invierte lo suficiente en la seguridad en los procedimientos telemáticos administrativos. No olvidemos que está al alcance de la mano de una persona que sepa aprovechar cualquier vulnerabilidad de los sistemas un caudal enorme de información sensible. Por una parte vemos con buenos ojos la facilitación de trámites y gestiones que supone el desarrollo de los trámites y procedimientos telemáticos, pero parece claro que debe de ser una prioridad absoluta la mayor seguridad posible. ¿Invierten lo suficiente las Administraciones en ello?

El cumplimiento estricto de la Ley de Protección de Datos es sumamente dificultoso en muchas ocasiones para las organizaciones privadas, ya que es muy complicado que sus sistemas tradicionales de trabajo, hábitos y rutinas se mantengan incólumes ante un proceso de adaptación a la LOPD. En todo caso, tendrán que asumir el cumplimiento de nuevas obligaciones organizativas, jurídicas y técnicas, que supondrán en muchos casos un incremento de costes y además, una dificultad añadida para trabajar ordinariamente.

En bastantes supuestos, además, no estará justificado en la práctica tales precauciones ya que el nivel de "peligrosidad" de los datos que se manejan es ínfimo y la posibilidad de un mal uso o de creaciones de perfiles –fin que trata de evitar la LOPD– remota. Pensemos por ejemplo en un restaurante –puede operar con datos muy básicos de clientes y de trabajadores, o en la mayoría de pequeños negocios que existen.

Sin embargo, los empresarios o autónomos tienen una poderosa razón para cumplir la LOPD: en caso de problema por denuncia, la sanción pecuniaria es de tal calado que en muchas ocasiones, acabará con la empresa o arruinará al profesional (pensemos en sanciones de trescientos mil euros por una comunicación de datos sin consentimiento, que puede ser perfectamente inocente, sin necesidad de intencionalidad alguna).

Sin embargo, en el caso de las Administraciones públicas, la percepción que tengo es que, para los responsables, en muchas ocasiones se trata más de un problema de imagen que otra cosa. Es decir, el "miedo" de quedar mal (pensemos, por ejemplo, el caso de Universidades inspeccionadas por denuncias de alumnos).

Los responsables de la Administración se encuentran con que, en el peor de los casos, –y sólo en muy contadas ocasiones– se procederá a la apertura de expediente disciplinario contra el empleado público responsable, expediente que al fin y al cabo es resuelto en primera instancia por la propia Administración y en los que la incidencia real de sanciones graves es muy escasa.

En otras palabras, por lo general, incumplir la Ley no cuesta dinero a la Administración. Ante ello, sólo cabe esperar que los responsables públicos sean sensibles al respeto de la privacidad, porque no existe una razón efectivamente coactiva. Como adaptarse a la LOPD siempre supone un coste (empleo de recursos, cambios organizativos, nuevas funciones) y se trata de una cuestión presupuestaria, puede darse el caso de que las Administraciones no se tomen como prioridad el cumplimiento de la Ley, y que su aplicación efectiva se dilate en el tiempo.

El tema de debate que queremos lanzar aquí es por tanto, si sería deseable que existiese un sistema de exigencia de responsabilidad que implicase un mayor poder coactivo para los responsables públicos a la hora de tomar decisiones en esta materia y de los empleados públicos a la hora de manejar el volumen de información del que disponen por razón de su trabajo. En segundo lugar, cuál sería este sistema más riguroso, si por otra parte no coartaría o causaría inhibiciones a la hora de compartir datos que sean necesarios en los expedientes de las distintas administraciones publicas.

Uno de los principios fundamentales de la normativa en materia de protección de datos personales es la imposibilidad de su comunicación –entendida ésta como revelación– salvo consentimiento del interesado y siempre en el ámbito de los fines y las funciones legítimas de las partes que comparten los datos personales (cita artículo 11 LOPD).

Dejando de lado los supuesto de acceso a datos personales recogidos en el artículo 12 LOPD (cuando la comunicación tenga por objeto la prestación de un servicio) , la excepción a la necesidad de consentimiento para las administraciones se contempla solamente en dos supuestos: a) cuando la cesión se produzca entre Administraciones Públicas para el ejercicio de las mismas competencias; b) cuando la cesión entre administraciones públicas tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

El principio del consentimiento en la comunicación implica, por tanto, o bien compartir las competencias o bien un fin estadístico, histórico o científico. Fuera de estos casos, no es posible sin previo consentimiento del interesado, que las Administraciones se crucen datos.

En muchas ocasiones, se necesitará conocer datos personales sin que exista una misma competencia que lo justifique, pero a tenor de la Ley, no será posible la comunicación si previamente no se ha dado el visto bueno por el interesado. Esto abre el debate a los problemas prácticos que se plantean, ya que es necesario analizar caso por caso cuando es legítima o no la revelación de datos en el ámbito administrativo.

Se han dado casos de supuestos realmente pintorescos. Por ejemplo, una denuncia de una alumna a su centro educativo público por haber facilitado datos suyos (en concreto, mostrado la fotografía obrante en el expediente) a la Policía. Se trataba de una persona denunciada por agredir reiteradamente a compañeras de colegio, por lo que se personaron los agentes en la institución y mantuvieron una charla con los responsables (en concreto, la Directora) en el transcurso de la cual solicitaron que se les enseñase una fotografía de la alumna denunciada, a fin de proceder a su identificación. En la creencia de que – como es lógico– existe un deber legal de colaborar con los cuerpos y fuerzas de seguridad en la investigación de los delitos, la Directora del Colegio procedió a mostrar la fotografía de la alumna a los agentes.

Tiempo después, tras la denuncia pertinente, el centro educativo público tuvo una inspección de la agencia de protección de datos autonómica competente, aunque al final se archivó el procedimiento porque la fotografía en cuestión no estaba digitalizada, es decir, no formaba parte de un fichero informatizado, sino que se encontraba en un fichero en formato papel, y por ello, la LOPD no es aplicable hasta el mes de octubre de 2007.

En caso contrario, podría haberse incoado expediente sancionador. Se trata, a la luz de casos como éste, de abrir el debate sobre la longitud y pertinencia de las comunicaciones entre las administraciones públicas. En algunos casos, como administrados, nos encantará que organismos como por ejemplo, la s entidades gestoras de seguridad social y las agencias tributarias no puedan compartir datos. Pero en otros casos, –y aquí se abre, por ejemplo, el debate seguridad/privacidad,– el funcionamiento correcto de la Administración impondrá la necesidad de esa revelación de datos sin que necesariamente exista una competencia compartida, un fin estadístico, histórico o científico. Intentemos trazar las líneas maestras de la separación sobre la corrección o incorrección de la comunicación de los datos personales.

Desde el 11 de septiembre de 2001, con todas las repercusiones que a la fecha continúa conllevando, se ha abierto el debate sobre la prevalencia o no de las medidas preventivas de seguridad como justificación efectiva de la reducción de las esferas de libertades civiles.

Es sabido por todos que en Estados Unidos se ha venido sucediendo la promulgación de normativas restrictivas de los derechos individuales y el consiguiente incremento de las prorrogativas públicas en la vigilancia de las actuaciones de los ciudadanos. El clima generado por los atentados y –sobre todo – su repercusión mediática justificó –al menos entre amplios sectores de la población– la prevalencia cuasi–absoluta del bien seguridad.

Tenemos en España una próxima reforma de la LOPD para que se flexibilicen las obligaciones en el caso de investigaciones en materia terrorista y formas de delincuencia organizada. Todavía no han trascendido a la mayor parte de la población los términos concretos que se modificarán, pero a primera vista parece razonable modificar algo, ante la palabra terrorismo.

En Estados Unidos, sectores movilizados contra las restricciones de derechos llevadas acabo por la "Administración Bush" alertan del abuso del miedo o mejor dicho, el atemorizamiento de la población como excusa para los recortes de libertades.

La pregunta es ¿ hasta qué punto llegará a justificarse el control de las conductas de los ciudadanos en aras a la seguridad preventiva, o en aras a la persecución de los delitos promovidos por el terror organizado? ¿ Cuántos siglos costó la conquista de muchas libertades civiles ahora fuertemente cuestionadas ?

Creo que en este caso tiene mucha, mucha influencia la repercusión mediática. La visualización de los atentados de las torres gemelas impactó descomunalmente en la sociedad, que por el contrario ignora otros sucesos de igual o superior crueldad porque aunque los conoce, no los visualiza. Imaginemos que se televisaran las muertes de miles de niños que diariamente tiene lugar por inanición o falta de higiene en el continente africano. Realmente, se haría insoportable para el ciudadano que tiene el privilegio de vivir en los países desarrollados, y probablemente, acabaría justificando una actuación mucho más intensa para combatir el subdesarrollo.

Pero no es objeto de este debate si se utilizan o no los medios en la sociedad de la información para influir en las conductas de los ciudadanos. El objeto de esta comunicación es el tratamiento de datos por las organizaciones públicas, y a ello nos ceñimos. La información que se considera dato personal es muy amplia, ya que es cualquier información asociada a una persona física. Todos los días generamos datos personales, pues todos los días efectuamos transacciones, facilitamos números de teléfono, y a la vez estamos en contacto con los datos, escuchamos programas de televisión con confidencias y rumores sobre personas, y así un sinfín de conductas.

El control de los datos por las administraciones implica por tanto, un poder de conocimiento sobre nuestra vida, conocimiento que precisa de unas garantías en su utilización. Si se tiene acceso indiscriminadamente a nuestras cuentas bancarias con la excusa de investigar un supuesto blanqueo, a nuestra historia clínica para localizar lesiones en tal día, a la relación de vuelos y desplazamientos en tren que hemos hecho, a las habitaciones de hotel en las que hemos estado por las reservas, fácilmente se podrá saber la vida de una persona "al dedillo". Estará justificado de sobra si esa persona resulta ser un delincuente, pero, ¿y si no?

La línea fronteriza entre la intimidad/privacidad y la seguridad como bien emergente en el siglo XXI, hasta que punto es legítimo el acceso a los distintos datos informatizados que se esparcen por todas partes para combatir los delitos organizados, es sin duda, el debate prevalente en la sociedad cuando hablamos de tratamiento de los datos personales por la Administración. Es muy importante, por ello, obtener unas conclusiones claras y bien fundamentadas sobre el tema, pues mucho me temo que es la moda que se avecina.

Aunque a mediados del siglo pasado ya se empezó a hablar, por los autores administrativistas, de la legislación "motorizada" en referencia al número "in crescendo" de normas que constantemente se promulgaban regulando los espacios de convivencia, lo cierto es que es un hecho cada vez más cierto que el trabajo normativo y la reglamentación de las conductas es cada vez mayor y que ello se ve en muchas ocasiones, como positivo y necesario.

Todo esto provoca, de igual manera, que el volumen de información que acumulan las organizaciones públicas sea cada vez mayor. Y esto no es precisamente una tendencia a la baja, todo lo contrario, cada vez es más intenso y mayor. Progresivamente van aumentando nuestras obligaciones de declarar o facilitar datos, registrarnos, etc.

No es para nada descabellado pensar que en no mucho tiempo, la Administración – en singular – tendrá un conocimiento exhaustivo sobre la vida de las personas, lo que unido al desarrollo tecnológico hace que potencialmente –y en un futuro no muy lejano – en un vistazo se podrá llegar a disponer de un perfil de nuestra personalidad.

Ante ello, el debate surge sobre si la protección de los datos personales en el ámbito de las organizaciones públicas, con el sentido indicado en la LOPD, el respeto a los principios de protección y el cumplimiento riguroso de las obligaciones impuestas en beneficio de nuestra privacidad debe o no ser considerado ahora y en este momento como una prioridad para las mismas.

La exposición de las anteriores inquietudes parte de la base –aunque a veces no lo parezca– del relativismo de todas estas cuestiones. Sinceramente, el objetivo es de alguna manera, poder obtener unas conclusiones sólidas que solamente creo serán posibles con un contraste de opiniones aportadas por personas que tengan enfoques dispares y que se las planteen desde ópticas diferentes.

En este propósito estamos.