¿La protección de datos en las Administraciones Públicas es una prioridad real?
- Vulnerabilidad de los
datos que se aportan a la
@administración - ¿Es
suficientemente coactivo el sistema de responsabilidad
disciplinaria de los funcionarios como medida legal ante el
incumplimiento de la LOPD por las administraciones
públicas? - El rigor de la lopd en
materia de comunicación de datos puede obstaculizar
seriamente el funcionamiento
administrativo? - El debate sobre
seguridad/privacidad: la prevalencia de las medidas preventivas
de policía sobre el derecho a la
intimidad - La protección de
datos personales como prioridad para las administraciones
públicas
ABSTRACT
Mediante esta comunicación se pretenden plantear
cuestiones con relación a supuestos concretos del
tratamiento de datos por las administraciones públicas
para que sirvan de punto de partida en el debate sobre
la utilización de los datos en la práctica por las
organizaciones
públicas. Es por ello que el formato empleado es el de
mero planteamiento de las cuestiones, sin pretensiones de rigor
doctrinal o científico, y basadas en una experiencia
práctica de situaciones reales que despiertan estas
inquietudes que se plantean. La meta propuesta
es que a lo largo del desarrollo del
Congreso se vayan.
Palabras clave:
· administración pública
· ética
· identidad
· privacidad
· propiedad de
la información/conocimiento
Vulnerabilidad de los datos
que se aportan a la @administración
Asistimos progresivamente –lo que bajo mi punto de
vista es muy positivo– a un paulatino incremento de los
procedimientos
administrativos que se pueden iniciar por vía telemática. Por ejemplo, las declaraciones
tributarias del impuesto sobre la
renta, determinadas solicitudes en materia de
corporaciones locales (ayuntamientos), declaraciones a efectos de
cotizaciones de trabajadores, registros
públicos, etc.
Los datos que se aportan en dichas transmisiones son
altamente sensibles, en muchas ocasiones. La información
que viaja por la red nos puede permitir
conocer detalles realmente íntimos de las
personas.
Ante esto, nos encontramos con el problema de la
seguridad del
viaje y almacenamiento de
la información. Está claro que la inversión en seguridad debe de ser una
prioridad de la
Administración. Las "medidas de seguridad digitales"
deben de ser tan importantes como lo son los sistemas de
alarma y vigilantes que se ubican en los espacios físicos
donde se encuentra la documentación administrativa.
Desde aquí queremos lanzar a debate si por parte
de las administraciones se invierte lo suficiente en la seguridad
en los procedimientos
telemáticos administrativos. No olvidemos que está
al alcance de la mano de una persona que sepa
aprovechar cualquier vulnerabilidad de los sistemas un caudal
enorme de información sensible. Por una parte vemos con
buenos ojos la facilitación de trámites y gestiones
que supone el desarrollo de los trámites y procedimientos
telemáticos, pero parece claro que debe de ser una
prioridad absoluta la mayor seguridad posible. ¿Invierten
lo suficiente las Administraciones en ello?
¿Es suficientemente
coactivo el sistema de
responsabilidad disciplinaria de los funcionarios
como medida legal ante el incumplimiento de la LOPD por las
administraciones públicas?
El cumplimiento estricto de la Ley de
Protección de Datos es sumamente dificultoso en muchas
ocasiones para las organizaciones privadas, ya que es muy
complicado que sus sistemas tradicionales de trabajo,
hábitos y rutinas se mantengan incólumes ante un
proceso de
adaptación a la LOPD. En todo caso, tendrán que
asumir el cumplimiento de nuevas obligaciones
organizativas, jurídicas y técnicas,
que supondrán en muchos casos un incremento de costes y
además, una dificultad añadida para trabajar
ordinariamente.
En bastantes supuestos, además, no estará
justificado en la práctica tales precauciones ya que el
nivel de "peligrosidad" de los datos que se manejan es
ínfimo y la posibilidad de un mal uso o de creaciones de
perfiles –fin que trata de evitar la LOPD– remota.
Pensemos por ejemplo en un restaurante –puede operar con
datos muy básicos de clientes y de
trabajadores, o en la mayoría de pequeños negocios que
existen.
Sin embargo, los empresarios o autónomos tienen
una poderosa razón para cumplir la LOPD: en caso de
problema por denuncia, la sanción pecuniaria es de tal
calado que en muchas ocasiones, acabará con la empresa o
arruinará al profesional (pensemos en sanciones de
trescientos mil euros por una comunicación de datos sin
consentimiento, que puede ser perfectamente inocente, sin
necesidad de intencionalidad alguna).
Sin embargo, en el caso de las Administraciones
públicas, la percepción
que tengo es que, para los responsables, en muchas ocasiones se
trata más de un problema de imagen que otra
cosa. Es decir, el "miedo" de quedar mal (pensemos, por ejemplo,
el caso de Universidades inspeccionadas por denuncias de
alumnos).
Los responsables de la Administración se encuentran con que, en el
peor de los casos, –y sólo en muy contadas
ocasiones– se procederá a la apertura de expediente
disciplinario contra el empleado público responsable,
expediente que al fin y al cabo es resuelto en primera instancia
por la propia Administración y en los que la incidencia
real de sanciones graves es muy escasa.
En otras palabras, por lo general, incumplir la Ley no
cuesta dinero a la
Administración. Ante ello, sólo cabe esperar que
los responsables públicos sean sensibles al respeto de la
privacidad, porque no existe una razón efectivamente
coactiva. Como adaptarse a la LOPD siempre supone un coste
(empleo de
recursos, cambios
organizativos, nuevas funciones) y se
trata de una cuestión presupuestaria, puede darse el caso
de que las Administraciones no se tomen como prioridad el
cumplimiento de la Ley, y que su aplicación efectiva se
dilate en el tiempo.
El tema de debate que queremos lanzar aquí es por
tanto, si sería deseable que existiese un sistema de
exigencia de responsabilidad que implicase un mayor poder coactivo
para los responsables públicos a la hora de tomar
decisiones en esta materia y de los empleados públicos a
la hora de manejar el volumen de
información del que disponen por razón de su
trabajo. En segundo lugar, cuál sería este sistema
más riguroso, si por otra parte no coartaría o
causaría inhibiciones a la hora de compartir datos que
sean necesarios en los expedientes de las distintas
administraciones publicas.
Uno de los principios
fundamentales de la normativa en materia de protección de
datos personales es la imposibilidad de su comunicación
–entendida ésta como revelación– salvo
consentimiento del interesado y siempre en el ámbito de
los fines y las funciones legítimas de las partes que
comparten los datos personales (cita artículo 11
LOPD).
Dejando de lado los supuesto de acceso a datos
personales recogidos en el artículo 12 LOPD (cuando
la
comunicación tenga por objeto la prestación de
un servicio) , la
excepción a la necesidad de consentimiento para las
administraciones se contempla solamente en dos supuestos: a)
cuando la cesión se produzca entre Administraciones
Públicas para el ejercicio de las mismas competencias; b)
cuando la cesión entre administraciones públicas
tenga por objeto el tratamiento posterior de los datos con fines
históricos, estadísticos o
científicos.
El principio del consentimiento en la
comunicación implica, por tanto, o bien compartir las
competencias o bien un fin estadístico, histórico o
científico. Fuera de estos casos, no es posible sin previo
consentimiento del interesado, que las Administraciones se crucen
datos.
En muchas ocasiones, se necesitará conocer datos
personales sin que exista una misma competencia que
lo justifique, pero a tenor de la Ley, no será posible la
comunicación si previamente no se ha dado el visto bueno
por el interesado. Esto abre el debate a los problemas
prácticos que se plantean, ya que es necesario analizar
caso por caso cuando es legítima o no la revelación
de datos en el ámbito administrativo.
Se han dado casos de supuestos realmente pintorescos.
Por ejemplo, una denuncia de una alumna a su centro educativo
público por haber facilitado datos suyos (en concreto,
mostrado la fotografía
obrante en el expediente) a la Policía. Se trataba de una
persona denunciada por agredir reiteradamente a compañeras
de colegio, por lo que se personaron los agentes en la
institución y mantuvieron una charla con los responsables
(en concreto, la Directora) en el transcurso de la cual
solicitaron que se les enseñase una fotografía de
la alumna denunciada, a fin de proceder a su
identificación. En la creencia de que – como es
lógico– existe un deber legal de colaborar con los
cuerpos y fuerzas de seguridad en la investigación de los delitos, la
Directora del Colegio procedió a mostrar la
fotografía de la alumna a los agentes.
Tiempo después, tras la denuncia pertinente, el
centro educativo público tuvo una inspección de la
agencia de protección de datos autonómica
competente, aunque al final se archivó el procedimiento
porque la fotografía en cuestión no estaba
digitalizada, es decir, no formaba parte de un fichero
informatizado, sino que se encontraba en un fichero en formato
papel, y por ello, la LOPD no es aplicable hasta el mes de
octubre de 2007.
En caso contrario, podría haberse incoado
expediente sancionador. Se trata, a la luz de casos como
éste, de abrir el debate sobre la longitud y pertinencia
de las comunicaciones
entre las administraciones públicas. En algunos casos,
como administrados, nos encantará que organismos como por
ejemplo, la s entidades gestoras de seguridad
social y las agencias tributarias no puedan compartir datos.
Pero en otros casos, –y aquí se abre, por ejemplo,
el debate seguridad/privacidad,– el funcionamiento correcto
de la Administración impondrá la necesidad de esa
revelación de datos sin que necesariamente exista una
competencia compartida, un fin estadístico,
histórico o científico. Intentemos trazar las
líneas maestras de la separación sobre la
corrección o incorrección de la comunicación
de los datos personales.
Desde el 11 de septiembre de 2001, con todas las
repercusiones que a la fecha continúa conllevando, se ha
abierto el debate sobre la prevalencia o no de las medidas
preventivas de seguridad como justificación efectiva de la
reducción de las esferas de libertades civiles.
Es sabido por todos que en Estados Unidos se
ha venido sucediendo la promulgación de normativas
restrictivas de los derechos individuales y el
consiguiente incremento de las prorrogativas públicas en
la vigilancia de las actuaciones de los ciudadanos. El clima generado
por los atentados y –sobre todo – su
repercusión mediática justificó –al
menos entre amplios sectores de la población– la prevalencia
cuasi–absoluta del bien seguridad.
Tenemos en España una
próxima reforma de la LOPD para que se flexibilicen las
obligaciones en el caso de investigaciones
en materia terrorista y formas de delincuencia
organizada. Todavía no han trascendido a la mayor parte de
la población los términos concretos que se
modificarán, pero a primera vista parece razonable
modificar algo, ante la palabra terrorismo.
En Estados Unidos, sectores movilizados contra las
restricciones de derechos llevadas acabo por la
"Administración Bush" alertan del abuso del miedo o mejor
dicho, el atemorizamiento de la población como excusa para
los recortes de libertades.
La pregunta es ¿ hasta qué punto
llegará a justificarse el control de las
conductas de los ciudadanos en aras a la seguridad preventiva, o
en aras a la persecución de los delitos promovidos por el
terror organizado? ¿ Cuántos siglos costó la
conquista de muchas libertades civiles ahora fuertemente
cuestionadas ?
Creo que en este caso tiene mucha, mucha influencia la
repercusión mediática. La visualización de
los atentados de las torres gemelas impactó
descomunalmente en la sociedad, que
por el contrario ignora otros sucesos de igual o superior
crueldad porque aunque los conoce, no los visualiza. Imaginemos
que se televisaran las muertes de miles de niños
que diariamente tiene lugar por inanición o falta de
higiene en el
continente africano. Realmente, se haría insoportable para
el ciudadano que tiene el privilegio de vivir en los
países desarrollados, y probablemente, acabaría
justificando una actuación mucho más intensa para
combatir el subdesarrollo.
Pero no es objeto de este debate si se utilizan o no los
medios en la
sociedad de la información para influir en las conductas
de los ciudadanos. El objeto de esta comunicación es el
tratamiento de datos por las organizaciones públicas, y a
ello nos ceñimos. La información que se considera
dato personal es muy
amplia, ya que es cualquier información asociada a una
persona física.
Todos los días generamos datos personales, pues todos los
días efectuamos transacciones, facilitamos números
de teléfono, y a la vez estamos en contacto
con los datos, escuchamos programas de
televisión
con confidencias y rumores sobre personas, y así un
sinfín de conductas.
El control de los datos por las administraciones implica
por tanto, un poder de conocimiento
sobre nuestra vida, conocimiento que precisa de unas
garantías en su utilización. Si se tiene acceso
indiscriminadamente a nuestras cuentas bancarias
con la excusa de investigar un supuesto blanqueo, a nuestra
historia
clínica para localizar lesiones en tal día, a la
relación de vuelos y desplazamientos en tren que hemos
hecho, a las habitaciones de hotel en las que hemos estado por las
reservas, fácilmente se podrá saber la vida de una
persona "al dedillo". Estará justificado de sobra si esa
persona resulta ser un delincuente, pero, ¿y si
no?
La línea fronteriza entre la intimidad/privacidad
y la seguridad como bien emergente en el siglo XXI, hasta que
punto es legítimo el acceso a los distintos datos
informatizados que se esparcen por todas partes para combatir los
delitos organizados, es sin duda, el debate prevalente en la
sociedad cuando hablamos de tratamiento de los datos personales
por la Administración. Es muy importante, por ello,
obtener unas conclusiones claras y bien fundamentadas sobre el
tema, pues mucho me temo que es la moda que se
avecina.
La protección de datos
personales como prioridad para las administraciones
públicas
Aunque a mediados del siglo pasado ya se empezó a
hablar, por los autores administrativistas, de la
legislación "motorizada" en referencia al número
"in crescendo" de normas que
constantemente se promulgaban regulando los espacios de
convivencia, lo cierto es que es un hecho cada vez más
cierto que el trabajo
normativo y la reglamentación de las conductas es cada vez
mayor y que ello se ve en muchas ocasiones, como positivo y
necesario.
Todo esto provoca, de igual manera, que el volumen de
información que acumulan las organizaciones
públicas sea cada vez mayor. Y esto no es precisamente una
tendencia a la baja, todo lo contrario, cada vez es más
intenso y mayor. Progresivamente van aumentando nuestras
obligaciones de declarar o facilitar datos, registrarnos,
etc.
No es para nada descabellado pensar que en no mucho
tiempo, la Administración – en singular –
tendrá un conocimiento exhaustivo sobre la vida de las
personas, lo que unido al desarrollo tecnológico hace que
potencialmente –y en un futuro no muy lejano – en un
vistazo se podrá llegar a disponer de un perfil de nuestra
personalidad.
Ante ello, el debate surge sobre si la protección
de los datos personales en el ámbito de las organizaciones
públicas, con el sentido indicado en la LOPD, el respeto a
los principios de protección y el cumplimiento riguroso de
las obligaciones impuestas en beneficio de nuestra privacidad
debe o no ser considerado ahora y en este momento como una
prioridad para las mismas.
La exposición
de las anteriores inquietudes parte de la base –aunque a
veces no lo parezca– del relativismo de todas estas
cuestiones. Sinceramente, el objetivo es de
alguna manera, poder obtener unas conclusiones sólidas que
solamente creo serán posibles con un contraste de
opiniones aportadas por personas que tengan enfoques dispares y
que se las planteen desde ópticas diferentes.
En este propósito estamos.
Estos contenidos son Copyleft bajo una
licencia de
Creative Commons. Pueden ser distribuidos o
reproducidos, mencionando su autor, siempre que no sea para un
uso económico o comercial. No se pueden alterar o
transformar, para generar unos nuevos.
Javier de la Riera