Protección de datos y ayuntamientos

Protección de datos y ayuntamientos

Datos a proteger

Serían todos aquellos vinculados a personas físicas (los de personas jurídicas los regularían otras ramas del Derecho, pero no ésta), ya pertenezcan a la propia organización (el personal propio, ya sea laboral, interino, funcionarial, etc.) como que no (ciudadanos en general, terceros con los que se contrate, funcionarios de otros ámbitos, etc.).

En concreto, se protegerían no sólo datos de nivel básico (como podrían ser el nombre, apellidos y dirección), sino otros más delicados (infracciones administrativas, por ejemplo), o aún más sensibles (violencia de género, salud o enfermedad, menores …).

Lo que se protege, aunque parezca un juego de palabras, no es realmente el dato, sino el poder de disposición sobre el mismo que su titular posee, elevándose tal derecho a la categoría de derecho fundamental (así reconocido por nuestro Tribunal Constitucional, el Tratado Fundamental de la Unión Europea, y la Carta de Derechos Fundamentales de la UE (fue en lo que quedó el proyecto fracasado de Constitución Europea).

Tipos de ficheros a proteger

Antes que nada, convendría explicar bien qué es, a estos exclusivos efectos, un fichero. No tiene nada que ver con el concepto o concepción física que podríamos tener de un fichero físico, pero tampoco con el de fichero, archivo o registro informáticos. Sí es, por contra, cualquier conjunto de datos, de personas físicas, identificadas o identificables, que en sí mismos, por su estructura y modo de ordenación, constituyan una unidad con una cierta lógica interna. Ejemplo: Laboral o Recursos Humanos podría ser un fichero, comprensivo el mismo del personal laboral (o recursos humanos en sentido amplio, concepto aún más expansivo) del personal de la Corporación, y por mucho que variase el número de las personas en él contenidas (por las altas y bajas de personal), el fichero seguría siendo uno. En el concepto expuesto de fichero es irrelevante el soporte en el que éste esté, pues se protegen los datos en cualquier tipo de soporte (Ejemplo: El fichero Nóminas se protegerá con independencia de que esté en soporte informático o en papel).

Ejemplos típicos de ficheros municipales podrían ser (exponemos simplemente los más habituales): Padrón Municipal, Personal, Registro, Proveedores, Servicios Sociales, Mujer, Policía, o Cementerio.

Medidas de Seguridad

Es claro que de poco o nada sirve (a los efectos de la protección de datos) tener ficheros si luego no protegemos los datos en ellos contenidos, es por tal motivo que la norma que lo regula (en España, la Ley 15/99, Orgánica, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de Desarrollo (RLOPD), el Real Decreto 1720/2007, detallan y especifican qué medidas minimas se han de aplicar a los ficheros. Como estará siendo fácil intuir, a más delicado sea el dato, más estricta será la medida de seguridad.

Por lo expuesto, y a título sólo de ejemplo, citaremos tres ejemplos de medidas de seguridad, de obligada implantación todas ellas.

Caso 1: Fichero Proveedores. Se catalogaría como de nivel BÁSICO, por lo que algunas de las medidas a aplicar serían el poseer un llamado Documento de Seguridad, en el que figure qué usuarios acceden al mismo, qué sistema se posee de asignación y distribución de contraseñas entre los mismos, o llevar a cabo copias de seguridad con una periodiciad mínima semanal.

Caso 2: Fichero Urbanismo. Como este fichero, entre otras cosas, contendrá también las eventuales infracciones impuestas por comisión de ilícitos de dicha rama, se catalogaría como de nivel MEDIO, y ello exigiría implantar (entre otras) las siguientes medidas de seguridad: Efectuar una auditoría, con una periodicidad mínima bienal (una vez cada dos años), que no bianual (como errónea y torpemente indican algunos, que supondría algo muy distinto: Dos veces al año). En la redacción de tal documento habría de indicarse, entre otras cosas, qué defectos se han encontrado, qué se propone a fin de subsanar los fallos, y elevar el contenido del mismo al responsable del departamento, sección, concejalía, etc, para darle a conocer la situación actual del fichero. También habría que crear una figura, específica del mundo de la protección de datos, denominada Responsable de Seguridad, la cual, la persona que la encarnase, tendría el cometido de controlar y coordinar la aplicación de las medidas de seguridad, dejándose muy claro que la existencia de tal cargo no supone en modo alguno una delegación de responsabilidad, por lo que ante un eventual incumplimiento, respondería ante la Agencia Española de Protección de Datos el responsable del fichero y no tal figura. Habrá, para terminar, que anotar qué procedimientos de recuperación de datos (informáticos, se entiende) hay, quién los ejecutará, cómo, etc.

Caso 3: Fichero Violencia de Género. Este tipo de fichero, expresamente además, está considerado por el RLOPD como de nivel ALTO, lo cual supone y exige que las medidas de seguridad, en lógica consecuencia, sean más rigurosas. Ejemplo de tal tipo de medidas: Desde el momento a partir del cual a un mismo expediente, en soporte informático, acceda, o lo pueda hace en potencia, más de una persona física, el sistema informático habrá de dejar registrado, permanentemente, además, quién accedió, a qué expediente, cuándo, si fue para leer, modificar o borrar, y si el tipo de acceso fue autorizado o denegado. A su vez, dicha información de control se guardará en relación a los accesos de los dos últimos años, y como “colofón”, cada mes se hará un informe sobre dicha información, el cual hará el responsable de seguridad. A su vez, si dicha información se remitiese telemáticamente (vía e-mai, o fax, por ejemplo), su contenido habría de remitirse encriptado.

Sanciones

Matización previa: Al momento de publicarse este artículo (enero 2013), no está aún en vigor el Reglamento Europeo de Protección de Datos, PERO cuando lo esté, y dado que éste no distingue en lo que a las sanciones económicas se refiere, entre entidades o sujetos de derecho privado, y Administración Pública, consecuencia obligada de ello es que TAMBIÉN, a partir de su entrada en vigor (20 días a partir de su entera publicación, posiblemente en 2013) se pueda sancionar económicamente a los ayuntamientos, siendo el monto incluso superior a la normativa española actual (llega a los 600.000 €) pues llega hasta el millón de euros, pudiendo incluso aplicar (para las sociedades municipales, por ejemplo) imponer multas que llegasen hasta el 2 % de sus beneficios.

Dejando claro lo anterior, en la actualidad, las sanciones a aplicar serán las previstas en nuestra normativa interna (LOPD y RLOPD). Dichos cuerpos legales distinguen entre que el infractor sea una Administración Pública o no. Para el primer caso, las sanciones no serán económicas (privilegio una vez más de la Administración). Para el sector privado sí podrán ser pecuniarias (ahora, hasta 600.000 €. Con el Reglamento Comunitario futuro, hasta 1.000.000 €, más un porcentaje de los beneficios).

Dicho lo expuesto, más de uno podría pensar que no habría multas para las corporaciones municipales, pero ello tiene sus matices, pues si la infracción la cometiese una sociedad municipal que actuase bajo una forma mercantil, en tal caso sí se le aplicarían sanciones económicas, ya que en est supuesto, aunque la titularidad o parte de la misma fuese pública, actuarían como sujetos de derecho privado, afectando en tal caso a las arcas municipales.

A su vez, y para el caso en el que no hubiese sanción económica, sí podría haber la apertura de un expediente disciplinario (recogido así en la LOPD), por no hablar de que la Agencia Española de Protección de Datos tiene, entre otras potestades, la de inmovilizar ficheros hasta tanto no se adopten en relación a los mismos las correspondientes medidas de seguridad. Ello quiere decir que, de haber obstrucción a la Agencia, o negativa (previo apercibimiento en tal sentido) a hacer lo requerido, se podría impedir continuar usándose el fichero del IBI, por ejemplo, so pena, en caso contrario, de cometer un ilícito ya de tipo penal.

Si lo anterior está enmarcado en el ámbito administrativo, ello no quiere decir que no haya también normas de protección de datos incardinadas en el mundo penal, como el delito denominado de descubrimiento y revelación de secretos, aunque en este caso se exigiría el difundir sin autorización, y de modo malicioso, datos de índole reservada (salud, o vida sexual, por ejemplo). En tal caso se respondería personalmente (posible prisión) aparte de económicamente, siendo además responsable subsidiario el ente municipal.

Boletines Oficiales e Internet

Explicar a un profesional del mundo municipal qué es un boletín y para qué sirver resultaría como poco ofensivo, si no simplón, por ello expondremos qué relevancia tiene dicha figura en el ámbito específico de la protección de datos, pues no son pocas las Administraciones (municipales o no) que desconocen cuál sería la mecánica correcta a la hora de incluir datos de ciudadanos en ellos.

Como es obvio, la inclusión de dicho tipo de datos de personas físicas en un boletín, oficial, obedece a la aplicación de las normas administrativas referentes a la notificación de actos de la Administración una vez se den determinados supuestos. Pues bien, una vez llevada a cabo dicha inclusión, notificado el acto por dicha vía, y transcurridos los plazos pertinentes, o incluso archivado el expediente (o prescrito su acción), ya deja de tener sentido que cualquier ciudadano pueda seguir teniendo acceso a dicha información, pues tal dato no está para el entretenimiento ajeno, ni para saciar la curiosidad (en estos casos, generalmente malsana, si no ociosa) del “espontáneo” explorador de boletines, sino que la inclusión está para dar cumplmiento a un acto administrativo, de notificación en el presente caso. El problema surgirá cuando tal boletín esté en Internet, pues aún siendo diligente la Administración publicante, y retirando el boletín, o el dato del mismo, una vez cumplida la finalidad que motivó su existencia, puede haber sido grabada dicha información en algún buscador de Internet (Google, por ejemplo). Los buscadores, de modo automático, permanente y constante, rastrean la Red, con unos robots o programas especiales; a medida que lo hacen, indexan tales datos en base de datos, dándose el caso de que alguien que sepa buscar, podrá encontrar datos de alguien que, por ejemplo, por la vía ejecutiva el Ayuntamiento procedió contra ella, dándose la circunstancia de que el dato puede ser de hace ocho años, no teniendo sentido que dicha información permanezca en la Red aún.

Para evitar lo anterior, la AEPD recomienda que hay que estar atentos en el sentido de retirar el boletín, o determinados datos de éste, de la Red, efectuando ello cuando la finalidad administrativa esté cumplida. Pero nos dice más: En el código fuente del documento (parte interna del documento digital que está en Internet, no visible a simple vista por el usuario, pero sí interpretada por los robots de los buscadores antes aludidos) se pongan las correspondientes metaetiquetas (un tipo de códigos) que le indiquen al robot que no se desea quede indexada dicha información, ya que de lo contrario permanecería en la Red a perpetuidad.

Nuestra Audiencia Naciona, Sala de lo Contencioso-Administrativo, ha dado la razón a ciudadanos que, en defensa de su derecho a la protección de datos y a la propia imagen, han solicitado de la Administración la retirada de contenidos de boletines oficiales puestos en Internet, así como ha obligado a Google a hacer lo mismo. Google ha recurrido tales sentencias ante el Tribunal de Justicia Europeo (en rigor, la Audiencia Nacional, por cuestión de prejudicialidad vinculada a la Directiva comunitaria remitió para allá las actuaciones), por lo que habrá que esperar a ver el final.

No obstante lo anterior, el futuro Reglamento Comunitario regula el concepto base del que estamos hablando: El Derecho al Olvido.

Páginas/Servicios web y Redes Sociales:

No está de más dedicar un apartado a las páginas web, o a servicios prestados a través de las mismas, dado que en ocasiones, con la mejor intención, y por desconocimiento puro y duro de la normativa de protección de datos, se puede incurrir en la comisión de infracciones realmente graves, y ello por hechos tan aparentemente inocuos como el que ahora expondremos: Imaginemos que una sociedad municipal, o una misma Concejalía, encarga a un tercero, particular, que le haga una página web, para el Carnaval, por ejemplo, y poner en ella un blog para dejar registradas las opiniones de los ciudadanos. La web, además, necesitaría estar alojada en u servior, para que se pueda ver en la Red, y ello supondrá un costo. Pues bien, nuestro amigo informático, y con la mejor intención, aloja la web en un servidor norteamericano, radicado en suelo USA, de excelente calidad, y además más económico. Lo que no sabe nuestro amigo es que, técnicamente, estará llevándose a cabo una transferencia internacional de datos, y al ser a fuera de la Unión Europea, se exigirá el consentimiento del titular del datos, o el visto bueno de la Agencia (para lo cual el trámite es largo, lento, y caro), o estar en una lista que tiene el visto bueno de las Autoridades Comunitarias, ya que de no darse dichos requisitos, la sanción podría ser de bastantes miles de euros. Ello es un ejemplo de cómo, hechos aparentemente irrelevantes, pueden terminar convirtiéndose en una bomba.

A su vez, no es raro que, con el auge/moda de los blogs, y ya no digamos de lo que se está denominando trabajar en la nube (o i-cloud), se contraten servicios sin meditar o analizar, tranquila serenamente, si tal o cual empresa, nacional o no, reúne los requisitos que la normativa de protección de datos exige, ya que en caso contrario responderemos nosotros por las contravenciones legales que dicho tercero lleve a cabo, por muy bien intencionadas que estén. Ejemplo de ello podría ser el alojar datos en una “nube” sin que el tráfico de datos hacia la misma esté encriptado, o no blindando bien la cuestión de las posibles transferencias internacionales de datos (ilegales) a las que nos podríamos exponer de no hacerlo bien, por no hablar de fallos en las medidas de seguridad que pudiesen dejar al descubierto datos sensibles de miles de usuarios.

El futuro que viene

Por último, y para terminar, no está de más avanzar, siquiera sea somera y superficialmente, qué reglamentaciones están a punto de doblar la esquina y abalanzarse ya sobre nosotros (posiblemente este mismo año, 2013). Nos referimos al ahora en fase de Anteproyecto, Reglamento Europeo de Protección de Datos.

Sus novedades: Creación de la figura del Delegado de Protección de Datos; Obligación de comunicar a la Agencia determinadas (así llamadas) Violaciones de Protección de Datos (habrá que ver qué se “cuenta” y què no); una regulación sobre los buscadores de Internet, otra sobre el tan de actualidad últimamente Derecho al Olvido; las sanciones se elevan hasta el millón de euros, incluyendo además parte de los beneficios en algunos supuestos; más detalle en la regulación de los menores; se quita validez a los consentimientos dados habiendo relación de dependencia (ejemplo: los empleados de la Concejalía firman que autorizan que sus imágenes estén en la web municipal. En principio, y con lo que se proyecta para el futuro, sería nulo tal consentimiento al haber estado forzado).

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: