Puedes leer la parte 1 aquí.

Nos habíamos quedado en las competencias de la APDCM. ¿Y la Agencia Vasca? Su Ley establece también una distribución de competencias de carácter formal, pero introduce una novedad respecto a las competencias de la APDCM: la posibilidad de imponer sanciones a los encargados de tratamientos de ficheros públicos. Ver a este respecto el artículo 21 de su Ley.

Por cierto, como curiosidad comentar que su ley cita expresamente que la misma se aplicará a los ficheros de “la Agencia Vasca de Protección de Datos”.

La siguiente y última, es la Autoridad Catalana de Protección de Datos, en la cuál su ley, además del criterio formal de atribución de competencias (Administración Generalitat, Entes locales) se introduce el de carácter material, fundamentado, en la prestación del servicio público:

 “Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.”

En otras palabras, los ficheros de concesionarios o conciertos ligados a la prestación del servicio público. Del tenor literal de ese precepto, se entiende que será bajo la condición de responsable.

A partir de aquí, debemos preguntarnos lo siguiente:

¿Los ficheros de los concesionarios deberían ser competencia de las Agencias autonómicas o de la AEPD?

Bajo mi humilde punto de vista, y olvidándonos de lo que actualmente dice cada una de las leyes que regulan las Agencias autonómicas, la respuesta es que deberían ser competentes las autonómicas.

¿Por qué?

Las Agencias autonómicas se configuran como organismos de control de su respectivo sector público prestatario de servicios. Éstos se pueden prestar de forma directa o indirecta. La diferencia estribará en aplicar el régimen de los ficheros públicos o privados.

De lo contrario, supone limitar bastante el ámbito de actuación de las Agencias autonómicas, teniendo en cuenta que las AAPP cada vez acuden más a la externalización de los servicios.

Concesionarios ¿responsables de ficheros o encargados de tratamiento?

Aunque puedan surgir matices, pienso que lo más adecuado es considerarlos como encargados por las siguientes razones:

1.- Aunque el artículo 12 de la LOPD parte de comunicación de datos, no es menos cierto que si atendemos a la condición de responsable del fichero, es la Administración la que decide el uso y finalidad de los datos. Esta cuestión se desprende de los pliegos de contratación.

2.- Permite solucionar el problema de qué ocurre con el fichero cuándo el concesionario termina el contrato y se contrata a otro. De lo contrario, finalizado el contrato, ¿Se entrega el fichero a la Administración? ¿Al nuevo contratista? ¿Se lo lleva la empresa que ya no prestará el servicio?

3.- Implica a la AAPP en la materia de protección de datos, que falta le hace. De lo contrario, todo lo asume el contratista y la AAPP entona un “de eso yo no quiero saber nada”.

Obviamente, sólo es una opinión, la cual espero que genere su oportuna y correlativa discusión.

Os espero, pues.

Otto e mezzo (Introducción).

Primer disparo: ¿Tienen todas las Agencias autonómicas de protección de datos la misma competencia? No.

Segundo disparo: ¿Las leyes que regulan las competencias de las Agencias autonómicas han adoptado en el mismo modelo a la hora de atribuir competencias? No.

Tercer disparo: Sobre este tema, ¿Sirve para algo la definición de fichero público que contiene el Reglamento de desarrollo de la LOPD? No.

La carta (las leyes autonómicas).

Si comparamos las leyes autonómicas que regulan las Agencias de Protección de Datos de esta naturaleza, nos encontramos que existen dos modelos. A saber:

 El modelo de atribución formal. El ejemplo, la Ley 8/2001, de 13 de julio, de Protección de Datos en la Comunidad de Madrid. Esta ley, parte de la atribución de competencias a la APDCM en base a la personalidad jurídico pública del organismo en cuestión. En otras palabras, Administración de Comunidad de Madrid, Ayuntamientos, Universidades, Corporaciones de Derecho público (Colegios profesionales y Cámaras) en el ejercicio de potestades públicas y Administración Institucional de la Comunidad de Madrid.

Contiene también una cláusula abierta, de manera que la APDCM tiene competencia sobre “Entidades de derecho público, entes…de la Administración de la Comunidad de Madrid”.

Quedan fuera de la competencia de la APDCM las Sociedades Anónimas de la Administración Institucional de la Comunidad de Madrid así como de los Ayuntamientos, y los encargados de tratamiento.

Respecto a los encargados de tratamiento, precisar que quedan fuera no sólo en aquellos supuestos en que se subcontrate un servicio, sino también la gestión que realicen los concesionarios de los servicios públicos (o cualquier otra forma de contratación de dichos servicios).

En otras palabras, una residencia de ancianos gestiona por una concesión administrativa otorgada por la Comunidad de Madrid, sus ficheros ligados a ese servicio público quedan fuera del ámbito competencial de la APDCM.

Asimismo, mencionar que a estos concesionarios los he calificado como encargados del tratamiento. Podrían ser responsables de ficheros, pero, personalmente creo que encajan más en la figura de encargado. ¿La razón? La encontrarán en la segunda parte de este post que se publicará la semana que viene.

Esta atribución formal, que en teoría podría parecer la más sencilla, en la práctica no se da, por varias razones:

-La llamada Administración institucional. En el ámbito estatal, tenemos la conocida con el nombre de “LOFAGE” (Ley 6/1997). En el ámbito autonómico hay que ir a la ley que regule la Administración institucional autonómica y las leyes de presupuestos.

Sin embargo, en el caso de la APDCM nos encontramos con un caso bastante contradictorio: como he dicho anteriormente, no tiene competencia sobre el Metro de Madrid ni tampoco la Empresa Municipal de Transportes del Ayuntamiento de Madrid (EMT), pero si sobre el Consorcio Regional de Transportes ya que es un organismo autónomo de carácter administrativo. En otras palabras, la APDCM tiene competencia sobre el fichero de usuarios del Metro y EMT (el abono transporte) y no lo tiene sobre las cámaras de videovigilancia instaladas. A fin de cuentas, tanto el abono como las susodichas cámaras forman parte del servicio público de transportes.

-  Otro tipo de entes (utilizo esta terminología por ser más sencilla para entenderse) que aparecen en el tráfico jurídico administrativo. Por citar algunos:

• Federaciones Deportivas: eran calificadas formalmente como Corporaciones de derecho público, pero con la Ley del Deporte de 1990 pasaron a ser entes asociativos privados. Sin embargo, sus funciones siguen siendo las mismas que las Corporaciones de derecho público (Colegios profesionales). La Audiencia Nacional, en sentencia de 1 abril de 2011, ha considerado que cuando ejerzan funciones públicas delegadas se les debe aplicar el llamado régimen de los ficheros públicos.
• Fundaciones sanitarias: me remito al post escrito en Winchester 73 sobre el caso de la “Fundación Alcorcón”. Esta fundación fue calificada formalmente como “ente de derecho público”. Ahora mismo, sus ficheros son competencia de la APDCM.

No obstante, tenemos a la Fundación Jiménez Díaz (es un Hospital), que no es calificado formalmente como ente de derecho público y por tanto, sus ficheros no son competencia de la APDCM. Pero, esa Fundación forma parte de la Red Sanitaria Pública de la Comunidad de Madrid. Como pueden comprobar, esto empieza convertirse en un verdadero galimatías.

• Juntas de Compensación, Fundaciones universitarias…etc…y digo “etc” porque hay que analizar cada caso de forma concreta, y lo que hoy son “10 casos” mañana pueden ser “12”, ya que nunca se sabe cuando aparece un ente que puede ser de naturaleza privada pero actúa en el ámbito público.

-      El modelo de atribución material, que es que utiliza la ley de la Autoridad Catalana de Protección de Datos. Dicho modelo se fundamenta también en lo recogido en su Estatuto de Autonomía. Pero este caso….

Así que espero que hayan mordido el “anzuelo” y se queden expectantes hasta la semana que viene con la segunda parte de este post.

Atentos a su pantalla.

La Ley de 18 de junio de 1870, por la que se establecen reglas para el ejercicio de la Gracia de Indulto, establece en su artículo 30 que “La concesión de los indultos, cualquiera que sea su clase, se hará en Real Decreto que se insertará en el Boletín oficial del Estado.”

Este Real Decreto objeto de publicación tiene el siguiente contenido:

-      Nombre y apellidos del indultado;

-      Delito cometido;

-      Informes que tomados en consideración para el indulto;

-      Pena que se indulta.

 Pongamos como ejemplo una serie de reos que fueron indultados y que intentaron buscar trabajo.

Y aquí empieza el eterno problema con la publicación de datos en Boletines y los buscadores. Hoy en día, no es de extrañar que a la hora de realizar un proceso de selección para cubrir un puesto de trabajo, el gestor tenga más en cuenta lo que aparece de los candidatos en Internet que el curriculum que cada uno de ellos haya presentado. Incluso, a veces me he preguntado, “Y si buscan a una persona y no encuentran nada de ella, lo mismo piensan que es un “rarito” por no aparecer en ninguna red social”.

Decía Iñaki Vicuña, Director de la Agencia Vasca de Protección de Datos, en la I Jornada Anual de la APEP “si al preso le queda poco tiempo para cumplir la condena, casi es mejor que la cumpla”.

Como en Winchester73 somos muy respetuosos con la protección de datos personales, omitiremos no sólo la fecha del BOE en la que aparecen sino también hemos procedido a “anonimizar” el nombre y apellidos de los mismos (aunque estén publicados en una fuente accesible al público). Así, nos encontramos lo siguiente:

-      Señor Naranja: delito de robo con fuerza.

-      Señor Blanco: delito contra la salud pública.

-      Señor Rubio: delito de estafa.

-      Señor Rosa: delito de revelación de secretos profesionales.

- Señor Azul: delito contra la salud pública.

- Señor Marrón: delito de lesiones.

Y ahora piensen, si con estas penas, aunque hayan sido indultados, podrían conseguir trabajo. Por ejemplo, el Señor Rosa, lo tiene bastante complicado en cualquier empresa que maneje información.

He estado buscando si existe alguna regulación del contenido del Real Decreto que se publica en el BOE y no lo he encontrado. No obstante, recuérdese a este respecto que los actos administrativos deben ser motivados (ver Ley 30/1992, de 26 noviembre).

¿Cómo solucionamos el problema? No creo que eliminar el delito cometido sirva de algo, ya que usando los buscadores, seguiríamos encontrando el nombre y apellidos de la persona y que ésta ha sido indultada. ¿Suprimir el nombre y apellidos usando sólo las siglas? En ese caso, podríamos encontrarnos problemas con el régimen de publicación de los actos administrativos de la Ley 30/1992, de 26 noviembre.

La solución podría ser, manteniendo los datos que se publican en la actualidad, tan sencilla como en el oficio que se envíe al BOE para la publicación se introduzca una frase con el siguiente o similar contenido:

“En relación con este Real Decreto objeto de publicación el BOE deberá introducir los mecanismos adecuados para evitar la indexación por parte de los buscadores de Internet”.

Porque a fin de cuentas, la responsabilidad tiene que ser de quién publica. Si no hay nada publicado, los buscadores no enganchan.

Pd:¿Sabían que en el modelo oficial del Ministerio de Justicia para solicitar el indulto no hay ninguna referencia al derecho de información del artículo 5 de la LOPD?

-      AEPD: uso del padrón para el envío de publicaciones.

-      APDCM: uso del correo electrónico de una Universidad para enviar el Rector un correo a todos los empleados defendiéndose de las acusaciones vertidas por un partido político.

 En ambos casos, resueltas con sendas declaraciones de infracción por vulneración del principio de calidad de datos.

 Entrando ya en el tema que nos ocupa, las redes sociales posibilitan nuevos cauces de comunicación por parte de las Administraciones públicas.

 Dejando a un lado si la Ley 11/2007, de Administración Electrónica permite su uso a las citadas Administraciones, y en caso afirmativo, si dicha comunicación tuviese que estar reglada de alguna forma (recordemos que las AAPP están sometidas al imperio de la ley y no parece muy adecuado aplicarles el principio de “lo que no está prohibido, se puede hacer”), vayamos a la realidad existente poniendo una serie de ejemplos:

 - Tanto el Ayuntamiento de Cáceres como el de Guadalajara tiene abierto un perfil en facebook.

 - Debemos pensar que estos Ayuntamientos –o cualquier Administración pública- van a utilizar las redes sociales para comunicaciones institucionales (por ejemplo, dar publicidad a una exposición, a la convocatoria de becas, plazas para opositar…etc), todo ello sin perjuicio de realizar la convocatoria correspondiente vía Boletín cuando sea preceptivo.

 - Tengamos en cuenta, además, Ley 29/2005, de 29 de diciembre, de Publicidad y Comunicación Institucional, y las leyes autonómicas en el mismo sentido, allá donde se hayan aprobado.

 Pero, ¿Qué ocurriría si se utiliza esa red social, en vez de para enviar información institucional, para fines que no tengan tal carácter? Por ejemplo, para fines políticos.

 ¿Podría ser perseguible vía LOPD como en los casos anteriores del uso de ficheros públicos para otras finalidades?

 Pues desde mi humilde punto de vista, la respuesta es negativa. Vayamos por partes:

-      La AEPD está admitiendo la aplicación de la LOPD a las redes sociales. Por ejemplo,  tenemos el caso de un particular que publicó documentos técnicos de un Ayuntamiento. O la famosa sanción por suplantar a un particular en una red social.

-    A diferencia de los ejemplos dados en el inicio de este post, es que se cambia el medio de comunicación (del uso del fichero a la utilización de la red social) pero el fin es el mismo.

 Estas dos premisas podrían conducirnos a aplicar la LOPD para estos casos y declarar la infracción de las Administraciones Públicas que utilicen la red social para enviar comunicaciones no institucionales.

 Sin embargo, los destinatarios de las mismas serán aquellos que hayan decidido seguir a la Administración Pública correspondiente utilizando el botón de “amigo” o “seguidor”, en otras palabras, se habrá otorgado el consentimiento. Y allá cada cual con la información que reciba.

 Así que si has dado tu consentimiento a la red social de tu Ayuntamiento y te felicita tu cumpleaños, te tendrás que aguantar.

 Cuestión diferente, es si ético que las Administraciones públicas utilicen las redes sociales para enviar comunicaciones no institucionales.

El 26 de abril de 2006 el Consejo de Ministros del Consejo de Europa decidió que cada año, el 28 de enero, día en el que se firmó el Convenio 108 del Consejo de Europa para la protección de las personas respecto al tratamiento de datos de carácter personal, se celebrase el Día Europeo de la Protección de Datos, si bien en la actualidad, tiene lugar no sólo en la Unión Europea sino en el resto de países del mundo.

Desde Winchester 73, queremos promover, con ocasión de este día, el siguiente Decálogo, dirigido tanto a usuarios/clientes/ciudadanos como a empresas/organizaciones/administraciones:

Decálogo sobre protección de datos.

Usuarios/clientes/ciudadanos:

1.- Tus datos de carácter personal son sólo tuyos y forman parte de tu derecho fundamental a la protección de los mismos.

2.- Cuando soliciten tus datos personales, exige conocer quién los recaba y para qué finalidad.

3.- Cuando firmes un contrato o similar, lee atentamente las cláusulas sobre protección de datos.

4.- Cuidado con almacenar tus datos personales en pendrives, dvd’s o similares: es muy fácil guardarlos en estos soportes para también muy sencillo perder los mismos.

5.- Ante cualquier duda o reclamación, acude a la Autoridad de Control de Protección de Datos correspondiente.

Empresas/organizaciones/administraciones:

6.-“Think before you cloud”.

7. Los datos personales que almacenes son un valor importante de tu organización.

8.- Utiliza un lenguaje sencillo y claro en las cláusulas sobre protección de datos.

9.- Cumple la LOPD no sólo para evitar sanciones sino también para prestar un servicio de calidad.

10.- Se respetuoso con los datos personales recabados. Es lo que te gustaría que hiciesen los demás respecto a los tuyos.

Por otra parte, las Autoridades de Protección de Datos realizan una serie de actividades para promulgar este derecho fundamental.

Este año, podemos destacar las siguientes:

A nivel nacional:

-      Agencia Española de Protección de Datos: “4 Sesión Anual Abierta”, el 27 de enero en los Teatros del Canal (Madrid). También ha abierto una consulta pública sobre el “Cloud computing”.

-      Agencia de Protección de Datos de la Comunidad de Madrid: ha publicado una Declaración Institucional en Defensa de la Privacidad de los Menores en Internet. En su web, dos vídeos sobre internet, con recomendaciones al final de los mismos.

-      Autoridad Catalana de Protección de Datos: organiza la Jornada “Las nuevas tecnologías y la privacidad en Europa”, el 27 de enero en el Aula Europa (Barcelona).

-      Agencia Vasca de Protección de Datos: realiza el 27 de enero un acto, en Vitoria, junto con el Departamento de Educación, Universidades e Investigación del Gobierno Vasco para presentar “El recurso educativo para el profesorado sobre Privacidad y Protección de Datos”.

Instituciones de la Unión Europea:

-      Supervisor Europeo de Protección de Datos: ha editado este vídeo  con participación del Supervisor (Peter Hustinx) y su Adjunto (Giovanni Buttarelli), en el que explican la relevancia de la protección de datos así como los riesgos a los que están sometidos nuestros datos).

Evento con expertos del ámbito público y privado:

-      En Bruselas, los días 25, 26 y 27 de enero se celebra la Quinta Conferencia Internacional “Computers, Privacy and Data Protection”. Entre los participantes, el EDPS, la CNIL, Google y e-Bay.

Otros eventos en toda Europa:

-      Se pueden consultar en el siguiente enlace: aquí.

También se ha editado un folleto con artículos de opinión sobre varios temas (“Privacidad por diseño”, deber de secreto).

A estas alturas de la película, ya es conocida por todos nosotros la llamada Ley de Administración Electrónica (o para los puristas Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos).

Esta Ley lo que pretende dar es una vuelta de tuerca a nuestra Administración y llevarla al mundo 2.0, así como acercar sus procedimientos a nosotros, los “sufridos ciudadanos”, además de hacernos la vida más sencilla cuando tenemos que lidiar con la burocracia.

No pretendo hacer un resumen de esta normativa, más que nada, porque en un post se me haría imposible o, si lo hiciera, al tercer párrafo el lector se me quedaría dormido. En cambio, si me interesa lanzar una reflexión para las Administraciones.

Desde que se promulgó la Ley, las diferentes Administraciones Públicas, han tenido diversas iniciativas para “pasarse al mundo del 2.0” y explicar las bondades de realizar cualquier trámite desde tu casa, sin esperar colas y con la mayor comodidad. Y para muestra un botón: el Portal http://administracionelectronica.gob.es/ en donde se recogen, entre otras cuestiones, las novedades más “interesantes” en esta materia en el conjunto del Estado.

Particularmente, como jurista, siempre he estado a la expectativa de cómo iba a encajar esta normativa  conel procedimiento administrativo. Pues bien, con el siguiente ejemplo, en forma de Sentencia, lo intentaré explicar: Sentencia del Tribunal Superior de Justicia de la Comunidad de Madrid 498/2011, de 7 de junio de 2011.

El resumen de los antecedentes de hecho de esta Sentencia sería el siguiente:

- 6-11-2007: La Inspección de la Agencia Tributaria incoa una Acta de Inspección respecto a un “interesado” con una propuesta de liquidación. En dicha Acta se hacía mención a “se entendería producida y notificada la liquidación tributaria de acuerdo con dicha propuesta si en el plazo de un mes no se hubiera notificado al interesado acuerdo del Inspector-Jefe rectificando errores materiales, ordenando completar el expediente con nuevas actuaciones o confirmando la liquidación propuesta en el acta”.

- 13-11-2007: El “interesado” se da de alta en el Servicio de Notificaciones Telemáticas de la Agencia Tributaria.

- 19-11-2007: La  Agencia Tributaria dicta acuerdo de confirmación de la propuesta de liquidación.

- 21-11-2007: Envío del anterior acuerdo al domicilio postal del “interesado”.

- 11-01-2008: Pago del “interesado”.

- 18-02-2008: Providencia de apremio del 5% de la deuda (más de 11.000 euros) por no haber pagado en el período voluntario. Según la Agencia Tributaria, el período voluntario terminó el 8-01-2008 y el “interesado” pagó el 11-02-2008.

El “interesado” solicita, en la demanda, la anulación de la providencia de apremio en el que se le reclamaba una deuda de más de 11.000 euros, alegando que el 13-11 se dió de alta en el Servicio de Notificaciones Telemáticas y el 19-11, le enviaron la propuesta de liquidación vía postal. La Sentencia versa sobre si esa notificación vía postal que se le hizo el 19-11 es válida.

Ya os puedo adelantar que la Sentencia le da la razón al “interesado” y para ello, se acoge a la Ley 11/2007 y en concreto a sus artículos 27 y 28. El siguiente párrafo de la Sentencia es esclarecedor:

“art. 27.1 , relativo a las comunicaciones electrónicas, establece que los ciudadanos podrán elegir en todo momento la manera de comunicarse con las Administraciones Públicas, sea o no por medios electrónicos, añadiendo el apartado 2 del mismo precepto legal que las Administraciones Públicas utilizarán medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. En el mismo sentido, el art. 28.1 de la indicada Ley afirma: “Para que la notificación se practique utilizando algún medio electrónico se requerirá que el interesado haya señalado dicho medio como preferente o haya consentido su utilización, …”.

Por ello el Tribunal considera que a partir del 13-11-2007, (día en que el interesado se dió de alta en el Servicio de Notificaciones Telemáticas) la Agencia Tributaria no podía elegir el medio de notificación, sino que tenía la obligación de notificar por vía electrónica, y no lo hizo ya que 8 días más tarde envío una comunicación por vía postal. Por tanto esta última notificación carece de eficacia jurídica, y se anula la providencia de apremio.

¿Que caso a modo de conclusión del ejemplo expuesto? Que la no implantación de la Administración Electrónica puede llegar a afectar a los procedimientos administrativos, como en el caso que se ha expuesto.

Por eso, mi consejo, como “sufrido ciudadano” que pretendo dar a las Administraciones es que no sólo deben explicar las bondades de la Administración Electrónica, sino que debe ser implantada efectivamente, porque la Administración Electrónica ha venido para quedarse.
Autor:
Gontzal Gallo
Consultor – auditor jurídico en Protección de Datos
www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo

 No obstante, y desde mi humilde punto de vista, estamos ante un conflicto entre los gobiernos y nuestras libertades. Toda la “teoría de la propiedad intelectual” que se utiliza para justificar ésta u otras intervenciones, es una mera anécdota o excusa. Elija el calificativo que más le guste.

Esta semana, antes del cierre de Megaupload, recibía un correo electrónico con noticias de la organización EPIC que ya daba indicios del comienzo de esta nueva “Guerra” o lucha de poder por el control de la red. Dicho correo decía algo así:

“EPIC, tras un conflicto con el departamento de Seguridad Nacional de USA, ha obtenido casi 300 documentos de dicho departamento sobre un programa de vigilancia a través del cual se están monitorizando las redes sociales y elaborando sumarios (supongo que perfiles en función de lo que uno dice o deja de decir) sobretodo de aquellos que se muestran críticos.”

Por cierto, a modo de curiosidad, parece ser que este trabajo lo está realizando la empresa “General Dynamics”… ¿les suena? Para aquellos que sean amantes de la serie Fringe, y para los que no también, en la misma aparece una empresa llamada “Massive Dynamic” que se dedica a hacer experimentos de dudosa legalidad, en ocasiones, sin que lo sepan los sujetos afectados. ¿Casualidad o coincidencia el nombre?

Los gobiernos siempre quieren tenerlo todo controlado, y en la red están literalmente perdidos. ¿Recuerdan las últimas elecciones generales? ¡Si vendían a la prensa como un logro el haber saltado a las redes sociales para hacer campaña!  

¿Se acuerdan de nuestro texto constitucional? Cójanlo y lean detenidamente los supuestos de participación ciudadana. Luego, piensen en si están articulados en la práctica. Trasladen los mismos a Internet, y verán como son muy sencillos de poner en marcha.

Cojan también como ejemplo la movilización en la red contra el programa “La noria” y sus posteriores consecuencias.

Son sólo ejemplos positivos de la red.

Pero desde ayer, no se olviden, nuestros derechos han empezado a ser limitados.

¿De vuelta a la Edad Media?

 Esta medida sancionadora –si bien desconocemos si será de carácter económico porque podría consistir, por ejemplo, en retirar alguna de las transferencias de crédito que el Estado realiza cada año a las Comunidades Autónomas- se incluyó en la famosa –por la polémica generada- reforma de la Constitución del año pasado. Así, el apartado 5 del artículo 135 de nuestro texto constitucional queda redactado de la siguiente forma:

 “5. Una Ley Orgánica desarrollará los principios a que se refiere este artículo, así como la participación, en los procedimientos respectivos, de los órganos de coordinación institucional entre las Administraciones Públicas en materia de política fiscal y financiera. En todo caso, regulará:

1. a.    La distribución de los límites de déficit y de deuda entre las distintas Administraciones Públicas, los supuestos excepcionales de superación de los mismos y la forma y plazo de corrección de las desviaciones que sobre uno y otro pudieran producirse.
2. b.    La metodología y el procedimiento para el cálculo del déficit estructural.
3. c.    La responsabilidad de cada Administración Pública en caso de incumplimiento de los objetivos de estabilidad presupuestaria”.

 Por lo tanto, si las Administraciones públicas van a ser sancionadas por incumplir la estabilidad presupuestaria (recordemos que para ello se ha modificado incluso la Constitución) no debería existir problema para que fuesen también sancionadas –económicamente- en caso de incumplir la LOPD. En otras palabras, aceptada la “premisa mayor” no tendría que existir ningún obstáculo para aceptar la “premisa menor”.

 Este argumento puede ser tachado de “simplista”, pero en muchas ocasiones a través de la “simpleza” llegamos a la solución más lógica.

 Tengamos en cuenta, además, que otras normas prevén sancionar económicamente a las AAPP en caso de incumplimiento. Recordemos la reciente confirmación sancionatoria vía Audiencia Nacional al Ayuntamiento de Málaga por la instalación de su wifi (300.000 euros impuestos por la CMT). O incluso, existe hasta la responsabilidad solidaria de las AAPP prevista en la Ley de Aguas en el caso de que el Reino de España sea sancionado por las instituciones europeas (artículo 121 bis).

 Aunque la no sanción económica de las AAPP se ha comparado “tradicionalmente” a una situación de “beneficio” respecto a la empresa privada, sobretodo con las PYMES, no quisiera finalizar este post con algunas situaciones “kafkianas” generadas por dicha situación:

-      Colegios Profesionales: los ficheros ligados al ejercicio de funciones públicas –por su carácter bifronte- no son susceptible de imposición de sanción económica en caso de incumplimiento; los ligados a una actividad privada, sí. Piensen en el mismo tipo de datos –pongamos identificativos- dependerá de la función o actividad asignada si en caso de incumplimiento pueden ser sancionados económicamente.

-      En la misma situación se encontrarían otros entes (llamémoslos así) que actúan en el tráfico administrativo jurídico, como por ejemplo, Federaciones Deportivas o Juntas de Compensación.

-      Centro sanitario público vs centro sanitario privado: algunas CCAA tienen firmados convenios para derivar pacientes a centros privados. La mera casualidad hizo que el paciente “B” fuese atendido en el centro privado que vulneró la LOPD y fue sancionado económicamente. El paciente “A”, que fue atendido antes que “B” le toco el centro público que también infringió la LOPD.

-      Metro de Madrid S.A.: sometido a las sanciones económicas sobre sus ficheros (por ejemplo, cámaras de videovigilancia) pero forma parte del Consorcio de Transportes de la CM (que es un organismo autónomo mercantil y no susceptible de recibir sanciones económicas). Este Consorcio gestiona el abono transporte para usar en el Metro.

En resumen, y para terminar, vista la situación creo que ya no quedan excusas para que las AAPP sean sancionadas por incumplir la LOPD.

PD: El ICO (Autoridad de Protección de Datos del Reino Unido) impone sanciones económicas a las AAPP por incumplimiento de la LOPD. Y no pasa nada.

Así, en la serie Leverage, una especie de Equipo A del Siglo XXI, uno de los miembros de esta banda de timadores es un hacker. Hace unos años, en uno de los capítulos de la delirante y excelsa Boston Legal, el abogado Alan Shore, que estaba como una auténtica cabra, luchaba por la vulneración de la privacidad de uno de sus clientes.

Recomiendo también el capítulo 22 de la temporada 5 de Mentes Criminales, en la que una joven contacta con un desconocido a través de Internet y es raptada. Los diez primeros minutos de este capítulo pueden ser visionados en cualquier jornada de formación que se precie. Además, uno de los protagonistas de esta serie que apoya al resto de investigadores es una hacker que accede a cualquier programa o aplicación que se precie.

O la reciente película In time, la cual recomiendo, menciona como posible contraseña para abrir un caja fuerte la fecha de nacimiento de uno de sus personajes. Ya saben, esas contraseñas tan vulnerables.

Incluso, ya no nos extraña ver cualquier película o serie en la cual se comete un hecho delictivo y lo primero que piden las autoridades cuando llegan al lugar son las pruebas del delito, es decir, las grabaciones de las cámaras de videovigilancia.

Pero, ¿Se ha adelantado en el tiempo Hollywood a alguno de los “trending topics” de la privacidad actual? La respuesta a esta pregunta va ser un “sí” rotundo. A saber:

Ayer mismo, se comentaba en el twitter que Sky-net, el sistema que lo controla absolutamente todo en Terminator III (2003), es la “nube”. Aunque todo el desarrollo y apogeo de Sky-net se ve en la citada película, Sky-net ya aparecía en el primer Terminator (1984).

Las redes sociales, cuando el dueño del caralibro no había alcanzado el Instituto, podía verse un boceto de las mismas en “Cadena de favores” (año 2001): un estudiante ayuda a tres personas con un favor, y éstos a su vez, a otras tres, y así sucesivamente.

Cuando Internet echaba a andar y todavía había que utilizarla desconectando el teléfono, en 1995 se filma “La red”: una informática protagonizada por Sandra Bullock descubre un programa de Internet que permite acceder a los ficheros más secretos. Empieza a ser perseguida y ve como todos sus datos empiezan a desaparecer. Como si nunca hubiese existido.

Seguramente todos recordarán “Minority Report” (2002), del que ahora tenemos una versión de esa maquinita que aventuraba futuros crímenes en la serie “Person of interest”. ¿Realidad o ficción? Pues desgraciadamente, realidad: EEUU ha iniciado un programa llamado FAST que se base en detectar en un individuo rasgos que permitan sospechar de su conducta criminal en un futuro inmediato.

 O en CSI Miami, desde la temporada 8, Horatio y compañía dejan atrás el fichero que tenían para identificar delincuentes, para utilizar todo un complejo sistema que les permite acceder directamente a cualquier información desde el fichero del carné de conducir o los tipos de coches que vende cada concesionario de esa ciudad americana. La averiguación del delito cede ante cualquier derecho.

Así que, atentos a su pantalla. Si quieren saber cuáles serán los futuros temas a tratar en materia de privacidad, es posible que Hollywood nos lo adelante.

-          El derecho al olvido: o la nueva versión de la cancelación u oposición, como usted quiera, aplicada al mundo digital. Tenemos diferentes variantes: publicación en webs, en Boletines Oficiales, hemerotecas. Frente a este derecho, tenemos también su punto positivo: el derecho al recuerdo (ver artículo de Eneko Delgado  en www.datospersonales.org). ¡Con lo que me costó en vida publicar algo no vayan mis familiares a borrarlo! Eso sí, no me vayan a recordar por la imposición de una multa o un embargo. Sobre los Boletines, supongo que algún día alguien se darán cuenta que se está aplicando una ley para “papel” (ley 30/1992) en un formato electrónico (boletines actuales). Y ese alguien también se dará cuenta que pasado el plazo para recurrir, el Boletín, o más bien, el acto publicado no sirve para nada.

- Formación de menores sobre tecnologías: o lo que empieza a ser todo un procedimiento de concurrencia competitiva debido a los diferentes agentes que participan (Policía, Autoridades de Control, ONG’s, educadores). Tantos participantes tiene una consecuencia: mensajes diferentes. Así, en una jornada me comentaron sobre la recomendación dada por uno de éstos (omitiré quién) sobre darse de alta en las redes sociales usando un pseudónimo. Fui claro: “entonces, la red social no vale para nada. La red social lleva implícita el cambio del anonimato a la identificación con nombres y apellidos. Lo que cada uno publique, o más bien publicite, es responsabilidad de cada cual”.

-La “nube”: asistí hace una semanas al I Desayudo de la APEP que iba sobre este tema. En la mesa redonda, la industria vs AEPD. Mi conclusión: la industria tenderá a “lavarse las manos” sobre la responsabilidad del tratamiento de datos. Y esta conclusión la extraigo cuando lo que se discute es “estamos ante un encargado de tratamiento tal y como conocemos” y las respuestas son del tipo “el cliente sabe lo que contrata, los servicios que ofrecemos” o “hay que educar a los usuarios”.

-Modificación del régimen sancionador: o más bien, la aparición de la polémica figura del “apercibimiento”, que ha llegado para quedarse con nosotros, con todo lo que ha generado…carácter sancionador o no, “no haya sido sancionado”, criterios de aplicación. Desde mi humilde punto de vista, se perdió una buena ocasión para haber modificado el inexistente régimen sancionador de las Administraciones públicas.

-Robo de datos: no hay día que no aparezca en la prensa que se ha producido un robo o pérdida de datos. Los hackeos son ya parte del elenco que rodea a la protección de datos. Recordemos que hasta INTECO lo ha sufrido.

-Redes sociales: o más bien el “caralibro y los otros”, porque realmente la mayoría de noticias afectaron a la política de privacidad (¿existe?) del caralibro. Hemos tenido de todo, desde presiones para una configuración por defecto de la privacidad, hasta su propio dueño siendo víctima de su política de gestión de dicha red social, sin olvidar la curiosa forma de responder al derecho de acceso mediante el envío de más de 1.000 documentos.

-Videovigilados: ya no sólo a través de las cámaras, sino mediante cualquier dispositivo que se precie. Incluso hablar de un “auge y crecimiento” de la videovigilancia es totalmente erróneo: las cámaras conviven con nosotros. Empieza a ser bastante extraño encontrar un espacio, lugar o local en el que no se hayan instalado.

-  Y por último, la filtración del borrador de Reglamento de la Unión Europea, el cual dudo bastante que vaya a salir tal como se ha filtrado (Estados Unidos tiene un punto de vista bastante diferente y ya sabemos quién manda en este mundo globalizado).

¿Y qué esperamos del 2012? Para empezar, se dará luz verde a lo que llamo la “tercera pata” de la protección de datos: la ley de transparencia, que dará mucho juego. Las otras “dos patas”, LOPD y Administración electrónica.

 Personalmente –que no profesionalmente- este 2011 he conseguido dar por zanjado el denominado “trípode” (arreglar la factura de Internet tras 7 o más reclamaciones; cambiar la orientación del Digital+ que siempre que llovía me quedaba dos semanas sin señal; y recuperarme de cierta patología, con siete dictámenes médicos diferentes, que me impedía disfrutar de actividades deportivas extra-escolares). No ha sido fácil dar por finalizado el “trípode” pero nunca hay que rendirse.

También monté este blog (¿Sabían que estuve 3 horas para decidir la plantilla y luego 15 minutos para hacer el resto?) y aparecí en el twitter (he de confesar que me di de alta para realizar una labor de “espionaje” –para eso están las redes sociales- y finalizada la misma, y una semana después de haberme dado de alta, decidí usarlo).

 Ah, y fracasé en el intento de crear un solo grupo de protección de datos en linkedin. Bueno, le aplicaremos a este tema “términos usados en la política”, y como el “no” lo tenía antes de realizar dicho intento, digamos que fue un “fracaso relativo”.

 Agradecido a todos los que siguen este blog, y a mis followers en twitter,

 Os deseo un Feliz 2012 y que se joda el 2011 (disculpen mis palabras, pero es lo que se merece este año que se nos va).

http://www.youtube.com/watch?v=z-YMRbh0OqM