El Esquema de Certificación de la AEPD impide ejercitar los derechos RGPD

Reconozco que hay supuestos que no dejan de sorprenderme por las interpretaciones peculiares que  realiza a veces la AEPD, apurando y estrujando las bases jurídicas de tratamiento dependiendo de circunstancias poco clarificadoras.

Mi compañero Gontzal, leyendo los documentos de primera hora y que se nos acumulan, ha tenido el mérito de encontrar esta frase que nos ha inquietado.  La AEPD, mediante una Resolución de 10 de enero de 2020, aprobó la modificación del Esquema de Certificación de Delegados de Protección de datos, dentro de la cual se incluye un apartado 7.5 (pg 15) “método de evaluación” el que se afirma que  “no está permitido facilitar o mostrar los exámenes a los candidatos que lo soliciten“.

Es decir, todos aquellos solicitantes al examen de certificación que hayan realizado el mismo y quieran revisarlo, no pueden acceder a su contenido por estar prohibido desde el propio órgano de Certificación.  Ciertamente, me deja asombrado que el órgano que vela por la existencia de este derecho sea el que cercena el derecho recogido desde hace 30 años en la legislación, interpretando de forma ultra restrictiva la obtención de copias del artículo 15 del RGPD, no indicando cuál es el límite legislativo que le impide su exposición -de los contemplados en el artículo 23 de la misma norma-, y sea uno de los promotores de un límite del artículo 105 b) de la Constitución, del Convenio del Consejo de Europa sobre el Acceso a los Documentos Públicos (no ratificado), o las STS como las de 14 de noviembre de 2000 o 30 de marzo de 1.999.

La AEPD no puede promocionar la limitación de los derechos de protección de datos sin base ni fundamento, y no sería coherente ni propio de dicho órgano fundamentarlo en la Ley de Secretos empresariales. ¿Se imaginan que en los procesos selectivos, concursos, exámenes de universidad, colegios o cursos académicos aplicásemos dicho criterio? ¿De verdad nos creemos la esencia y filosofía que subyace en protección de datos o es mero postureo?

 

La RED SARA: ¿sigue siendo la Red Troncal?

Es evidente que los cambios normativos siempre alteran las jerarquías y las relaciones entre categorías o elementos jurídicos, por eso y para mantener la suficiente coherencia los operadores jurídicos solemos solicitar con vehemencia que todo cambio se realice con la suficiente calma, reflexión y análisis. En los cambios últimos producidos por el RDL 14/2019 y ya comentados en el anterior post, me he percatado de un elemento que pudiera tener cierta trascendencia o que igual ha sido trasladado a otra norma que no he sido capaz de encontrar. Me refiero al fundamento de la RED SARA como punto de encuentro del resto de redes de las AAPP y que se sustentaba en el artículo 43 de la derogada LAECSP y en el posterior artículo 155.3 de la LRJSP, que ha quedado totalmente desfigurado por su nueva redacción establecida en el RDL 14/2019.

Entrando en materia el susodicho artículo 43 o 155.3 establecía la siguiente obligación:  “La Administración General del Estado, las Administraciones Autonómicas y las Entidades Locales, adoptarán las medidas necesarias e incorporarán en sus respectivos ámbitos las tecnologías precisas para posibilitar la interconexión de sus redes con el fin de crear una red de comunicaciones que interconecte los sistemas de información de las Administraciones Públicas y permita el intercambio de información y servicios entre las mismas, así como la interconexión con las redes de las instituciones de la Unión Europea y de otros Estados Miembros”. Esta obligación  se recogió como un mandato insoslayable en el artículo 13 del ENI, desarrollándose con profusión en la NTI  de requisitos de conexión a la red de comunicaciones de las Administraciones Públicas españolas, así como en las guías que la desarrollan: toda una estructura que establecía un modelo de red en el que SARA ocupa un lugar prominente.

Se produce, por tanto, un desencuentro entre el fundamento manifestado en el vigente artículo 13 del ENI (“al objeto de satisfacer lo previsto en el artículo 43 de la Ley 11/2007, de 22 de junio”) así como en la NTI derivada con la normativa vigente, dado que la existencia destacada de la RED SARA  cumplía el mandato del artículo 155.3 de la LRJSP  o anterior 43 de la LAECSP, y dado que han desaparecido de los textos con rango de Ley,  dejan desamparados el resto de obligaciones establecidas en sus desarrollos normativos salvo que se considere, en un bucle sin sentido, que todo lo contemplado en el ENI tiene la bendición general del 156 de la LRJSP.

Muchos saltos mentales hay que realizar para parchear lo evidente: si tanto el ENI como su NTI de requisitos de conexión a la red de comunicaciones de las Administraciones Públicas españolas indican expresamente que su fundamento se halla en un artículo o en un texto que ya no existe hay algo en la lógica jurídica que flojea o al menos, que abre diferentes vías de debate, dejando la pregunta en el aire: ¿es o no es obligatoriamente la RED SARA la red troncal  de comunicaciones que interconecta los sistemas de información de las Administraciones Públicas y permita el intercambio de información y servicios entre las mismas?

Desde el punto de vista práctico no me queda duda que lo sigue siendo, dado que las Administraciones se han procurado vía Convenial potenciar el papel de SARA, pero su posición legal ha dejado de ser indiscutible pudiendo modificarse los textos y los acuerdos que mantienen su preponderancia a criterio de los firmantes. Igual sería conveniente volver a revitalizar el texto perdido.

Apuntes del Real Decreto -Ley 14/2019

Tal y como se había anunciado la semana pasada en la reunión del Consejo de Ministros de 31 de octubre, el BOE ha publicado el Real Decreto Ley 14/2019 que impacta directamente en la normativa relativa al tratamiento de información por parte del Sector Público. Por la estructura y contenido de la norma puedo congratularme en un sentido doctrinal que he defendido durante años en el que la Administración Electrónica no existe realmente como concepto jurídico, sino como criterio aglutinante de diferentes actuaciones administrativas que tienen como denominador común la actividad automatizada. El propio título del RDL manifiesta que su contenido incluye medidas urgentes que se adoptan en las siguientes materias:

  • Seguridad Pública
  • Administración digital
  • Contratación del Sector Público
  • Telecomunicaciones

Las modificaciones, más allá del detalle, se plantean con un carácter claramente defensivo, careciendo de la confianza legítima que debiera regir las relaciones entre las Administraciones Públicas. Ciertamente, su contenido no puede entenderse sin el momento político actual que se vive en Cataluña pero no es menos cierto que el diseño de un entramado normativo generado desde el problema y no desde el horizonte de la generalidad provocará un nuevo sistema complejo, lento, procedimentado y nada coherente con los estudios previos de la “nueva Administración” ni Estatales ni Europeos.

A modo de simples notas, se pueden comentar las siguientes novedades, que deben ser matizadas por las Disposiciones Transitorias del RDL que permite un período de adaptación variable entre los 3 a los 6 meses, dependiendo de la actividad:

Primero.- El DNI adopta un papel preponderante respecto a su alcance y eficacia. Es el único documento que acredita a todos los efectos la identidad de las personas. No quiere decir que anule al resto de documentos, pero el DNI en la actualidad es el único que alcanza a todos los ámbitos: ¿Quiere decir que con mi DNI puedo identificarme ante todas las Administraciones y acceder a mi Polideportivo, identificarme como conductor en vigor o abogado en ejercicio? Creo que iré tirando carnés que me sobran… o igual espero todavía.

Segundo.- Los sistemas de identificación y firma electrónica sustentados en Registros de Clave concertada – el habitual usuario/contraseña- debe ser previamente autorizado por la Secretaría General de Administración Digital. Los sistemas de identificación de clave blanda, como vulgarmente se les conoce, son utilizados de forma generalizada por la Administración, y dependiendo de cómo se interprete el artículo puede alcanzar incluso a los sistemas de comunicación institucional con los ciudadanos, impactando en herramientas que se usan con cierta ligereza pero a veces, con ciertos efectos.

Tercero.- La ubicación de los sistemas de custodia de la información no es libre dependiendo del tipo de datos que se traten debiendo almacenarse en territorio nacional o al menos, dentro del territorio de la Unión Europea, o contar con una decisión de adecuación de la Comisión Europea. Entiendo que este aspecto ya ha sido respetado, quedando un resquicio en la utilización de redes sociales, las cuales cada vez se encuentran más cercadas para ser utilizadas por las Administraciones Públicas.

Cuarto.- La interoperabilidad se instituye como  un régimen jurídico en el que la confianza entre el cedente y cesionario no prima. En dichas trasmisiones el cesionario debe acreditar al cedente que utilizará los datos para fines compatibles, pudiendo el cedente comprobar dicha compatibilidad. ¿Cómo comprobará una Entidad Local que sus datos de padrón se utilizarán para un fin compatible, con qué medios cuenta para realizarlo? Si el despliegue de la interoperabilidad se estaba convirtiendo en un imposible se genera un mundo de desconfianza en el que es más sencillo no compartir que transmitir datos.

Quinto.- La normativa de Protección de datos se convierte a ser el Rey en la Contratación Pública. Si no se siguen todas las referencias en la Memoria del Expediente, en los Pliegos de Contratación, o en el contrato de adjudicación, nada más y nada menos que el contrato puede devenir NULO. Ni qué decir que la consecuencia jurídica parece desproporcionada a los fines perseguidos.

Sexto.- El Blockchain parece que no está bien visto por la normativa, hasta que no sea regulado expresamente. No voy a decir que me alegro, pero era un tema recurrente, con mucha exposición mediática y que había comentado en un post algo antiguo.

Séptimo.- Los sistemas de redes de telecomunicaciones en régimen de autoprestación por el Sector Público requiere de una autorización previa. Ciertamente no afectará por igual a todas las Administraciones Públicas, pero mantiene este sistema de desconfianza comentado.

Lo dicho, norma rápida para problemas complejos en un mundo en el que se desconfía del vecino. Para arreglar un problema igual acabamos ralentizando el objetivo final: el despliegue de la ¿Administración electrónica?

Notificación electrónica frente a la realizada en papel. Ley 39/2015

La notificación es la piedra angular de los procedimientos administrativos, no pudiendo imaginar una tramitación correcta si se producen defectos en su comunicación final,  por eso se procura realizar siempre con las debidas cautelas, para lograr la efectiva notificación. De forma resumida, este ha sido el objetivo a cumplir en todo el sistema de notificación administrativa, el cual ha sido invadido por un nuevo sistema tecnológicamente superior, económicamente más eficiente y sobre todo, con una posible reducción de la carga probatoria: es la notificación electrónica.

Personalmente creo que poco crítica ha sido la doctrina al respecto, considerando la enorme repercusión que supone el cambio de sistema. Para comprender su alcance, deben comprenderse dos conceptos:

El primero, el subjetivo, los interesados obligados a recibir dichas notificaciones que conforme al artículo 14 de la LPACAP comprende a todos los colectivos excepto a las personas físicas que no actúen ni como colectivo definido, ni como profesional ni empresario. El alcance de interesados incluidos supone un gran porcentaje, con la repercusión que ello conlleva, sin olvidar, que el grupo de interesados excluidos puede voluntariamente adherirse a la notificación electrónica.

En segundo lugar, el mecanismo de notificación mediante comparecencia en sede electrónica o dirección electrónica habilitada. En cualquier caso, es una nueva potestad otorgada a la Administración que le confiere un poder enorme, no habiéndose producido una “rebelión” doctrinal que compensase ese poder. Parecen palabras gruesas, pero debe considerarse cómo ha cambiado el sistema de notificación del papel al electrónico: en el sistema papel es la Administración que, por sus medios o mediante el concurso de terceros (carteros, correos, empresas contratadas,…) se desplaza y busca en el domicilio del interesado la forma de notificar. En el sistema electrónico, la Administración deja en su propio espacio electrónico (bajo su absoluto control) la notificación, debiendo el interesado acercarse, introducirse, navegar, entender los caminos para llegar a la notificación, comprender los avisos legales, superarlos, actuando dentro de la “casa” de la propia Administración, con sus reglas. Que dicha sede electrónica sea amigable, comprensible, inteligible, sencilla y accesible son elementos totalmente subjetivos que hacen descompensar la relación jurídica en favor de la Administración actuante, consiguiendo una nueva potestad dentro del elenco de las potestades que ya dispone la misma.

¿No sería conveniente establecer alguna compensación a dicha nueva potestad? ¿Qué consecuencia jurídica tiene la dificultad de navegación, el error, el desconocimiento o la duda para un interesado? ¿Existe una carga iuris et de iure que toda plataforma de toda Administración es conforme a derecho? ¿Cómo puede el ciudadano romper esa presunción? Igual sería conveniente prever dichos supuestos creando un órgano que cumpla y haga cumplir, no ya el procedimiento administrativo, sino los principios de navegación que pueden llegar a ser tan relevantes  como el propio procedimiento. Podríamos invocar el artículo 18.4 de la Constitución “la ley limitará el uso de la informática…”. Palancas haylas, solo hay que impulsarlas.

El aviso electrónico de cortesía en la Ley 39/2015

Desde las primeras inmersiones de las Administraciones en lo relacionado con las comunicaciones y notificaciones electrónicas (al menos, las que conozco) se procuró guardar las máximas cautelas para que los estrictos y modelables criterios del TS sobre notificaciones no echasen al traste el poder que les otorgaba la nueva notificación electrónica, ya que otorgaba una posición de preponderancia a las Administraciones, suponiendo una considerable reducción de costes y esfuerzo, siempre que las mismas fueran realizadas en condiciones de seguridad jurídica. La doctrina del STS en materia de notificaciones ha mantenido una tendencia constante en la que se exige a la Administración extremar el celo siempre que se trate de notificaciones de actos sancionadores,  dejando -claro está- en el aire las concretas medidas que deben adoptarse. Esa indefinición en el detalle, unido a las nuevas potestades de notificación electrónica que permiten, tras superar el plazo de 10 días, dar por válidamente notificado o rechazada una notificación, forzó a realizar todas las cautelas viables para que los interesados no derrumbasen el procedimiento por una falta de diligencia administrativa, más allá de los cumplimientos formales.

Por ese motivo, de una forma prácticamente unánime, espontanea y sin consenso previo, las Administraciones consideraron que el aviso previo o la cortesía de un e-mail, podría ser un elemento que reforzase las garantías del procedimiento de notificación. Tal fue así, que la LPACAP en su artículo 41 recogió ese criterio como un refuerzo en la notificación. Pero el mundo jurídico no entiende de buenas prácticas, dado que las leyes recogen derechos, obligaciones o expectativas que generan, y como era de esperar, el aviso se convirtió en objeto de debate. Debate en diferentes sentidos que pueden concretarse en los siguientes:

¿El aviso es una obligación para la Administración? La exposición de motivos de la LPACAP parece que  circunscribe el envío a la posibilidad -“siempre que sea posible“- del envío, suponiéndose que pudieran existir limitaciones desde el punto de vista técnico, de coste u organizativo, pero el artículo 41 deshace dicha frase convirtiéndolo en una obligación -“las Administraciones Públicas enviarán un aviso.”  Por tanto, parece que la Administración está obligada a enviar dichos avisos, dado que no deja opción a posibles limitaciones de envío.

Si es una obligación para la Administración ¿es un derecho o una potestad para el interesado? La respuesta puede obtenerse del mismo texto legal que indica cómo  “el interesado podrá identificar un dispositivo electrónico y/o una dirección de correo electrónico que servirán para el envío de los avisos”. Por tanto, parece que el interesado tiene la llave, la potestad, el derecho que se le envíe el aviso, siendo así por varios motivos: el primero, por ser la persona que debe indicar clara, específica y correctamente la dirección electrónica de recepción del aviso. Si la dirección electrónica es incorrecta, inválida, no recibe ya los avisos o por problemas técnico-económicos (entiéndase  por aquellos envíos sometidos a coste para la Administración  emisora, como pudieran ser determinados sms o mms) no podrá recibirse el envío. En segundo lugar, porque al ser una potestad  del interesado, este podrá elegir en cada procedimiento, en todos los procedimientos, durante el procedimiento a que le sigan o no enviado dichos avisos, dándose de alta o de baja tantas veces como lo determine.

Considerando que existe este derecho-obligación ¿qué consecuencia jurídica provoca el mal funcionamiento o el no envío de dicho aviso? Parece que la creación de una relación jurídica debería producir algún tipo de consecuencia, pero aquí es donde el legislador trató de cercenar todo tipo de expectativa: el propio articulado de la LPACAP pone la venda antes de la herida y manifiesta con rotundidad que “la falta de práctica de este aviso no impedirá que la notificación sea considerada plenamente válida”, no generando ningún tipo de expectativa ni derecho la falta de emisión de los avisos. Este hecho compone uno de esos supuestos en los que la Administración está obligada a realizar algo, pero su incumplimiento no conlleva la consecuencia jurídica que pudiéramos esperar.

Y ante este desazón, falta de expectativas cumplidas o ruptura entre una obligación sin consecuencia, es donde entran los tribunales, concretamente y por su rango,debe mencionarse  la Sentencia 6/2019, de 17 de enero de 2019 del Tribunal Constitucional, en la que se debate el sistema de avisos regulado por la Ley de enjuiciamiento Civil. Ciertamente no es la misma legislación pero guarda una profunda relación de equivalencia entre los textos, y además, al ser analizado desde la perspectiva de la vulneración de los derechos fundamentales sus conclusiones deben ser tenida muy en consideración. Básicamente concluye lo mismo que lo expuesto, relativo a la inexistencia de consecuencia por vulneración de derechos fundamentales en el supuesto que no se produzca el aviso electrónico.

El aviso se configura, por tanto, como una mera cortesía, una consideración hacia el interesado o una gentiliza pero no una acción cuya inacción pueda tener consecuencias jurídicas y por tanto ser reclamada ante los tribunales.

Valor jurídico de las Guías del CCN

Hace unas semanas me plantearon profesionalmente una duda muy sencilla relativa al valor jurídico u obligatoriedad de cumplimiento de las Guías del Centro Criptológico Nacional (CCN) en el ámbito de las Administraciones Públicas. Aparentemente es una cuestión sencilla, pero nos introduce sutilmente en ese ámbito regulatorio de la Administración que, con un fundamento técnico, puede imponer obligaciones a todo el Sector Público e incluso a los proveedores de productos o servicios del Sector privado que suministran a dichas organizaciones.

El CCN, regulado entre otras normas por el Real Decreto 421/2004, tiene relativamente pocas funciones, articuladas todas a través del concepto de la “seguridad”, permitiéndosele elaborar y difundir normas, instrucciones, guías y recomendaciones (CCN-STIC),  valorar y acreditar la capacidad de los productos de cifra, constituir el organismo de certificación, llegando incluso el ENS a darle un cierto peso interpretativo respecto a sus Anexos, los cuales se van convirtiendo poco a poco en doctrina cuyo cumplimiento no se discute.

Esto nos hace reflexionar sobre dos aspectos relativos, primeramente, al alcance del concepto de la seguridad y, en segundo lugar, a las consecuencias de no seguir los criterios que indique el CCN. En primer lugar, respecto al concepto de la seguridad nos encontramos con uno de los conceptos más vaporosos, extensivos y potencialmente invasivos que podamos imaginar. Basta recordar el alcance de las medidas recogidas en el Anexo I del ENS, distribuidas en 3 grandes grupos (Marco organizativo, operacional y medidas de protección) que desarrolla aspectos tan dispares como Protección de las instalaciones e infraestructuras, Áreas separadas y con control de acceso, Identificación de las personas, Acondicionamiento de los locales,  Protección frente a incendios, Gestión del personal, Deberes y obligaciones, concienciación, … y muchas más. Simplemente hay que imaginar a una Administración realizando una obra nueva, generando una nueva instalación en un local y en la que -evidentemente- cuando entre en servicio tratará información en sistemas automatizados y mixtos. ¿debe considerar el ENS además de los demás requisitos normativos y arquitectónicos? La respuesta es evidente pudiendo encontrarse en una situación compleja al tener que conjugar las diferentes normativas.

La siguiente cuestión radica en determinar si las normas del CCN son de obligado cumplimiento, a lo que debe contestarse que lo son de forma indirecta. Por un lado, para su validez, deben aprobarse mediante resolución de la Secretaría de Estado de Administraciones Públicas previa autorización del correspondiente “Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica”. Por otro, conforme a la DA1ª de la  nueva LOPDGDD, el cumplimiento de lo contenido en el ENS se convierte en el modo de cumplir con la seguridad en protección de datos el ámbito del Sector Público, teniendo los órganos de control la capacidad de declarar la infracción en caso de “no adoptar de aquellas medidas técnicas y organizativas que resulten apropiadas“… y las apropiadas son las que marca el ENS e interpreta el CCN.

En resumen, y respondiendo a la pregunta del post ¿son obligatorias las guías e instrucciones del CCN? Bueno, no puedo afirmarlo, pero seguramente si actúas en el ámbito del Sector Público estarás más tranquilo si las cumples.

El funcionario habilitado en la e-administración

La LPACAP, en el ámbito de la gestión de la actividad administrativa, señala dos funciones que claramente tienen que ser realizadas por funcionarios, como son  la asistencia en el uso de medios electrónicos a los interesados (regulada en el artículo 12) y la realización de copias auténticas (artículo 27). La exposición de motivos de la norma indica que dichas funciones podrán realizarse por los mismos funcionarios, “no existiendo impedimento a que un mismo funcionario tenga reconocida ambas funciones o sólo una de ellas”, no debiendo realizarse mayores consideraciones jurídicas pues su cumplimiento pasa, indefectiblemente por disponer de -al menos- un funcionario que realice dichas función.

Dicho esto, debería hacerse una reflexión sobre las relaciones jurídicas que mantienen las diferentes Administraciones y Corporaciones del Sector público con su personal, que de por sí se convierte en una especialidad jurídica con un debate propio, en el que al profano le parecen todas las situaciones similares, pero a un miembro de las mismas distingue y separa claramente entre dichos empleados públicos al personal funcionario (de carrera o interino) y al personal laboral (fijo o eventual), además de todas las especialidades en los diferentes ámbitos (sanitario, directivo, fuerzas armadas, Entidades Locales, Cortes, judicatura, correos, enseñanza, …), siendo esta distinción una aproximación más que distante a un mundo complejo y cuya distinción conlleva  diferentes consecuencias jurídicas.

Dicho esto, no cabe sino elucubrar cómo se llevará a cabo estos registros de funcionarios habilitados, que serán plenamente interoperables y que dejarán constancia de quién tiene la capacidad de realizar ciertas actividades dentro de cada Organización, dado que dicho registro es obligatorio para todas aquellas Instituciones que apliquen la LPACAP, aunque sea supletoriamente, dado que la Norma técnica de Interoperabilidad de dichos registros todavía no ha sido aprobada, ni ha pasado de ser una mera elucubración normativa.

Pero volvamos a la distinción de funcionario- empleado público ¿Todas las Corporaciones de derecho Público, organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas tienen funcionarios en sus plantillas como para realizar legalmente esas funciones? Un colegio profesional, que es una Corporación de Derecho Público y aplica la LPACAP en determinados ámbitos de su actividad pero no tiene funcionarios en su plantilla ¿no puede realizar copias auténticas ni ayudar a los interesados a tramitar sus solicitudes electrónicamente en el SOJ? ¿Y el resto de Organismos Públicos? ¿Todos disponen de, al menos, 1 funcionario para realizar esas funciones? Por último, y llevando la reflexión al extremo, las propias Administraciones Públicas están tendiendo a disponer de grupos especializados de atención al ciudadano (SAC), que de forma centralizada realizan justamente las tareas definidas en esas normas ¿deben ser todos ellos funcionarios?¿Deben depender de un funcionario, dígase el Secretario de la Entidad Local, y éste debe supervisar su labor haciéndose responsable de la labor del personal de atención directa? ¿está dentro de sus funciones descritas en el Real Decreto 128/2018, de 16 de marzo, por el que se regula el régimen jurídico de los funcionarios de Administración Local con habilitación de carácter nacional -posterior a la propia LPACAP?

Son muchas las preguntas, y pocas las respuestas. Aunque el Anteproyecto de LPACAP trató de cambiar el concepto de funcionario al de empleado público (quedándose olvidado el concepto de empleado público en la DF 7ª), durante su tramitación se volvió a retomar el concepto de funcionario de la LAECSP ,y todo ello a pesar de la  crítica mordaz que el Consejo de Estado le inquirió al respecto.

En fin, la única esperanza es que la Administración electrónica vuelva a tener un nuevo periodo de gracia (digamos que hasta octubre del 2022¿?) y nos deje reposar estos conceptos o al menos, buscar soluciones a situaciones difícilmente resolubles.

La cortesía en el RGPD: E/09288/2018 – AEPD

En el derecho existen conceptos complejos, indeterminados e indefinidos pero de vez en cuando descubrimos nuevas versiones que nos generan cierta confusión y nos abren futuras puertas en cuanto a las fundamentaciones jurídicas que podemos utilizar en el tratamiento de datos. Mi compañero Gontzal ha tratado también el mismo asunto, pero voy a aventurarme con mi propia perspectiva.

La resolución de la AEPD referida como E/09288/2018 – AEPD expone unos hechos en los que confusamente relacionados explican cómo una empresa captó datos  de un ciudadano (publicados, expuestos en internet…. no lo indica)  para ofrecerle una posible colaboración comercial, realizando una remisión de mensajes comerciales “de spam a su móvil y presionándole vía WhatsApp”, con el fin de conseguir sus objetivos mercantiles . Esta acción -no explicada en detalle- supone un tratamiento claro de datos personales, tanto de su nombre, apellidos, teléfono móvil, además de poder incurrir en una vulneración de la legislación sobre comunicaciones comerciales, no negando ninguno de dichos aspectos la resolución, planteando el debate desde la única perspectiva si dicho tratamiento pudiera constituir una “presunta vulneración del artículo 6.1 a) del RGPD, que exige el consentimiento del interesado para el tratamiento de sus datos personales para que el mismo sea lícito“.

Llegados a este punto, la resolución pudiera haber tratado cómo dicho tratamiento por algún motivo se encuentra fuera del ámbito del RGPD, o se encuentra amparada en un tratamiento legítimo, conforme al artículo 6.1.f), ofreciéndonos nuevas pautas sobre el alcance del concepto del tratamiento legítimo, pero nada más lejos de la realidad, tal vez por falta de tiempo, por exceso de trabajo o por error tipográfico, archivan las actuaciones simplemente porque “se ha constatado que las conversaciones entre el reclamante y la empresa  se trataban de una simple prospección empresarial de cortesía, en aras de una posible colaboración”. Es decir, la cortesía elimina toda necesidad en el cumplimiento de protección de datos, siendo muy importante para el trato humano éticamente correcto, pero además si el trato ha sido caballeroso, gentil y amable nos excluye del cumplimiento de protección de datos.

Tal y como se decía en el Quijote “sé cabal con los hombres, sé cortés con las mujeres“.

La obligación de los abogados de tramitar electrónicamente ante la Administración

Los compañeros de profesión más mayores recordarán la “revolución” que supuso dentro de la tramitación administrativa la aprobación de la Ley de Procedimiento Administrativo de 1958, en el que en una de sus modificaciones dejaba que los trámites pudiesen llevarse a cabo sin la representación y asistencia letrada. Los compañeros perdíamos un monopolio en la tramitación administrativa y los ciudadanos ganaban libertad en cuanto que ellos  se convertían en sujetos con capacidad suficiente como para tratar sus asuntos directamente con la Administración sin verse supeditados a ningún tipo de tutelaje. Según rescato de las crónicas y doctrina,  el debate -para los estándares de la época- fue bronco, con posiciones encontradas, ya que desde dentro nos limitábamos las posibles salidas profesionales  y la Administración podía encontrarse con una mayor cantidad de documentos incorrectamente planteados, redactados y dirigidos, generando un mayor quebranto en la gestión de los procedimientos.

Desde entonces llevamos funcionando como todos conocemos, no habiendo significado  que los abogados hayamos desaparecido  ni  hayamos dejado de ayudar en la tramitación de los procedimientos administrativos de los ciudadanos, pero sí que, con el afán de reducirle los costes al cliente hemos optado -de manera significativa- a asesorar, redactar, orientar e incluso presentar y gestionar sus escritos, pero siempre bajo el propio nombre del cliente y como mucho, modificando el lugar de notificaciones, dirigiéndolo al despacho profesional con el fin de conseguirle una gestión completa sin someterle al gasto de unos poderes notariales. Ciertamente, el gasto de un poder notarial no es grande y evita muchos problemas, pero al contrario de lo que los medios de comunicación desdibujan de la profesión, nuestros clientes nos hacen ser muy mirados con los temas pecuniarios, reduciendo en todo lo posible cualquier gasto superfluo o simplemente reducible. Claro está que podemos aplicar otra solución, consistente en acercarse por la ventanilla de la Administración y realizar un poder Apud acta, pero al igual que la solución anterior, supone un gasto en tiempo, dado que los horarios de la Administración no siempre han sido coincidentes con los del cliente.

Con esta dinámica hemos convivido los compañeros durante muchos años, formando parte de este entramado procedimental asumido por todos, hasta la entrada en vigor de la Administración electrónica o lo que es lo mismo de la Ley 39/2015 y de la Ley 40/2015. Si bien se está realizando un gran esfuerzo en dar a conocer cómo la tramitación de los procedimientos judiciales se realizarán conforme a medios electrónicos, personalmente no encuentro el mismo énfasis en recordar cómo la misma obligación se extiende al mundo administrativo. Y ciertamente la obligación es clara, manifestándolo el artículo 14.2 de la Ley 39/2015 que indica que “en todo caso, estarán obligados a relacionarse a través de medios electrónicos con las Administraciones Públicas para la realización de cualquier trámite de un procedimiento administrativo, al menos, los siguientes sujetos:          […] c) Quienes ejerzan una actividad profesional para la que se requiera colegiación obligatoria, para los trámites y actuaciones que realicen con las Administraciones Públicas en ejercicio de dicha actividad profesional. En todo caso, dentro de este colectivo se entenderán incluidos los notarios y registradores de la propiedad y mercantiles.”

Es una obligación clara y definida, que señala directamente al colectivo de los letrados, siendo especialmente significativo como el medio electrónico distorsiona la habitual manera de actuar antes descrita, dado que salvo que se acredite la representación, las notificaciones electrónicas se dirigirán al propio interesado. Por otra parte, no veo este cambio normativo como un problema, dado que al facilitar la actuación mediante la formulación de los Apud acta electrónicos nos permitirá volver a un primer plano procedimental, dejando de estar escondidos por un problema de coste, pudiendo gestionar mejor, en tiempo y forma, los procedimientos de nuestros clientes al poder disponer de la información y de las notificaciones con la inmediatez necesaria para tomar decisiones.

Ahora sólo falta que los compañeros nos demos por enterados, cojamos el guante que nos ofrece la legislación, las plataformas de la Administración contemplen adecuadamente esta nueva situaciones y empujemos todos en la misma dirección. ¿Plazo de inicio? Los más tardones tendrán hasta el 2 de octubre del año 2020, pero hay Administraciones en las que ya podemos practicar esta nueva forma de relacionarnos.

El Controvertido consentimiento del art. 28.2 de la Ley 39/2015 (II)

Con la modificación de la redacción del artículo 28.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas parece obligatorio realizar algún comentario relativo al mismo, sobre todo para completar un post anterior que se ocupaba de la misma materia.

La modificación se ha materializado a través de la disposición final 12 de la Ley Orgánica 3/2018, de 5 de diciembre, y aunque se encuentra algo camuflada, tampoco puede decirse que haya sorprendido a la doctrina, dado que era una modificación que por su relación con la materia de protección de datos se conocía el trasfondo del debate, provocado por el choque entre dicha materia y la normativa administrativa. Al contrario que la redacción anterior con el fin de superar el conflicto, la nueva redacción obvia cualquier mención al consentimiento del interesado, indicando que los mismos “tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección“.

Desgranando el artículo, y siguiendo mi propia lógica, su aplicación práctica conllevará que en los diferentes trámites administrativos, la Administración podrá ofrecer la posibilidad al interesado de no presentar documentos de una lista de posibles. El interesado, si no manifiesta lo contrario, recibirá dentro de su tramitación dicha documentación. Su inacción supondrá una no oposición y por tanto, su derecho será completado. En este aspecto me surgen dos dudas:  el término “podrá” asociado a la Administración actuante y el alcance de su oposición. En cuanto a este “podrá”  lo entiendo como una habilitación no como una potestad, dado que si fuera lo segundo el derecho del interesado -reconocido en el artículo 53.1.c) y d) de la Ley 39/2015 a no presentar documentación- se encontraría vacío de contenido. En cuanto al alcance de la oposición, no plantea inicialmente mayor problema, ya que este derecho tiene un buen encaje conforme al artículo  21.1 del RGPD que lo relaciona con la base jurídica del 6.1.e) del mismo RGPD, aun cuando deja fuera aquellos tratamientos de la Administración que pudieran estar fundamentados en una obligación legal del artículo 6.1.c).

Pero si bien el consentimiento  ha supuesto con el RGPD una revolución en cuanto a su expresión, respecto a la oposición ni el RGPD ni la doctrina han sido tan estrictos en cuento a la forma y alcance de su manifestación y formalización. Si exigiésemos las mismas formalidades a la oposición y al consentimiento pudieran confundirse ambos, llegando al absurdo que la oposición sería una retirada del consentimiento, siendo imposible dado que el fundamento o la base jurídica no se encuentra en haber otorgado previamente dicho consentimiento. Dicho lo anterior, cabe reflexionar sobre cuál deberá ser la formalidad para ejercitar correctamente dicha oposición: ¿podrá ejercitarse la oposición sobre todos los documentos o podrá ejercitarse individualmente? ¿deberá la oposición exponer algún tipo de motivo para su ejercicio?¿podrá posteriormente desdecirse el interesado de dicha oposición mediante un acto de disposición?

Lo dicho, la situación del nuevo artículo 28.2 ya no se fundamenta en el consentimiento si no en la inexistencia de oposición, cambiando el patrón de funcionamiento de las Administraciones en la gestión de los trámites administrativos.