¿Se aplica a mi empresa la nueva Ley de Ciberseguridad?

Recientemente se ha aprobado el Real Decreto-ley 12/2018, denominado “de seguridad de las redes y sistemas de información” y que popularmente se conoce como la Ley de Ciberseguridad, aún cuando el acrónimo sea LSRSI. Personalmente, nunca he sido partidario del incremento de la normativa, pero ésta -como otras muchas- viene impuesta por nuestra inclusión en el marco de la Unión y cualquier debate sobre su existencia es vacuo y sin recorrido.

Pero no deja de sorprender la facilidad que tenemos por aceptar sin rechistar cualquier norma que trate sobre la seguridad (lo comprobaremos en el debate parlamentario), dando por bueno que, con tal bondadosa finalidad su contenido no puede ser más que maravilloso. Evidentemente ese planteamiento siempre es corroborado por la mayoría silenciosa cuando las obligaciones que se imponen recaen en otros, pero ¿esta Ley a quién afecta, a otros o a mí?

Para aportar una luz a dicha pregunta, y siguiendo la lógica de la ley, vamos a desenmarañar sus complicadas vinculaciones. Comenzamos por su artículo 2, que nos indica que la misma se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Esta inclusión es clara y nos deja a todos tranquilos dado que si estás en la LPIC estarás incluido en un sector de relevancia: básicamente pensaremos que es justo que te obliguen y nos dará tranquilidad.

Pero más inquietos nos deja el apartado b) que indica que la ley también alcanza a:
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Esta redacción genera más incertidumbre: si tenemos una empresa de un tamaño medio con una web y realizamos comercio electrónico ¿nos incluyen en el concepto de mercado en línea? La empresa tiene muchas obligaciones para que nos impongan más, ¿verdad?

Para responder a la pregunta sobre el alcance de un servicio digital se nos remite al  artículo 3 e), que a su vez, nos envía directamente a otra Ley en su anexo apartado a), haciendo saltos entre Leyes que tienen objetos diferentes pero con un trasfondo  tecnológico algo común. Esta última norma define un servicio digital  como  un servicio de la sociedad de la información,  entendido como “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”.

Hasta aquí esos saltos normativos concatenan que la ley de ciberseguridad debe extender exponencialmente su alcance, dado que ¿cuántas empresas, personas, profesionales disponen de una web y prestan sus servicios (compraventas, servicios, información, chats, almacenaje,… el propio wordpress??) en internet bajo la LSSI-CE? Muchas, por no decir todas, dado que es la norma palanca que permite que internet no sea un espacio des-regularizado,  teniendo como objetivo ofrecer seguridad jurídica a los usuarios.

El matiz interpretativo radica en una “coma” que incluye el artículo comentado y que he pintado de naranja en el texto: “, “,que sean mercados en linea“: ¿esto significa que un servicio digital exclusivamente incluye los “mercados en línea,motores de búsqueda en línea y servicios de computación en nube, entendidos en el sentido de la LSSI? Bueno, pudiera ser una interpretación limitativa, pero aunque la aceptásemos el concepto de mercado en linea es tan amplio que en poco hubiésemos reducido el ámbito  subjetivo de aplicación. Al igual que antes, hay que volver a  realizar otra búsqueda dentro de la LSRSI para descubrir qué es un mercado en línea y poder delimitar, si es el caso, su alcance.

En esta búsqueda hallamos el artículo 3 q) de la LSRSI  que define el  Mercado en línea como aquel “servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea.”. Desde mi punto de vista, esta definición alcanza a toda web en la que se realice un contrato, añadiendo que  una definición que incluye el propio término definido no es una definición.

Ante la pregunta que nos formulabamos ¿estoy sometido a la LSRSI si desde mi web realizo cualquier tipo de contratación? En mi opinión, y salvo criterio fundado en contrario, la respuesta es afirmativa, salvo que se trate de “microempresas o pequeñas empresas” excluidas conforme al artículo 2.3.b) de la LSRSI. Es premonitorio que la exposición de motivos de la LSRSI indique  que “su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica.”

 

Anuncios

El horizonte temporal de la E-Administración

Que la Administración Electrónica ha venido para quedarse se convierte en una afirmación incontestable, dado que nuestro estilo de vida no puede imaginarse sin una relación intima con los medios tecnológicos. Pero más allá de esa aseveración, se plantean cuestiones relacionadas con el cuándo y el cómo. Hasta la fecha teníamos una respuesta más o menos acertada, contemplando como fecha y contenido del armagedon administrativo el día 2 de octubre de 2018. Su mera mención hacía temblar a cualquiera que conociese las consecuencias jurídicas que pueden derivarse de su entrada en vigor.

Hoy BOE, tal y como anunciaba Moncloa la semana pasada, ha aprobado el Real Decreto-ley 11/2018  en el que disimuladamente introduce en su Artículo sexto una modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, modificando la disposición final séptima de la misma respecto a la entrada en vigor:
La presente Ley entrará en vigor al año de su publicación en el “Boletín Oficial
del Estado”.
No obstante, las previsiones relativas al registro electrónico de apoderamientos,
registro electrónico, registro de empleados públicos habilitados, punto de acceso
general electrónico de la Administración y archivo único electrónico producirán
efectos a partir del día 2 de octubre de 2020

Retrasamos el armagedon y el respiro nos tranquiliza pero ¿sabemos realmente en que situación estamos tanto la ciudadanía como la Administración? En este aspecto debe repasarse con esmero los 5 elementos que todavía no son exigibles, pero ¿y el resto?¿cómo se aplica una administración electrónica a trozos?¿es exigible la notificación electrónica sin un registro electrónico?¿y la interoperabilidad sin un registro de apoderamientos?

Los avances son importantes, pero más si van acompañados de la correspondiente norma que paute la pertinente consecuencia jurídica. Seguiremos disfrutando durante estos dos años de prórroga de los apasionados debates jurídicos que puede generar esta situación.

La AEPD, la Competencia y el DPD

En los últimos meses con la vorágine de la entrada en vigor del RGPD se están sucediendo los análisis, comentarios y reflexiones de cómo se realizará su aplicación práctica y el papel que adoptarán los órganos de control. Esta expectativa se ha visto incrementada por la inexistente norma que distribuya la actividad jurídica en esta materia, y que suponemos que limará nuestra vigente LOPD convirtiéndola en una norma plenamente adecuada a las exigencias propias y foráneas. Entre los elementos largamente debatidos se encuentra la figura del Delegado de Protección de datos, piedra angular de la nueva regulación, en el que su designación y posterior comunicación y publicación otorgará más transparencia a un sistema basado en la actual comunicación de ficheros a los órganos de control.

En este complejo entramado, en constante evolución,  debe cuidarse de las fáciles presunciones lógicas,  dado que solventan problemas cortoplacistas pero que pueden desembocar en problemas mayores. En esta tesitura, agradezco a mi compañero de Blog y despacho –Gonzalo Alvarez – siempre atento a la actualidad,  la remisión a la noticia referente a que la AEPD ha publicado un sistema de notificación electrónica para comunicar la designación del DPD. Con carácter general esta noticia puede considerarse como positiva, dado que parece dar cumplimiento al artículo 37.7 del RGPG, pero más allá de esa primera impresión aparecen las primeras sombras que posiblemente se disiparán con las aclaraciones que realicen los órganos de control.

En primer lugar, la Agencia parece tener información privilegiada, intuición o está interpretando extensivamente sus funciones, dado que dentro de las mismas y de sus competencias, no recuerdo que se encuentre el hecho de recibir notificaciones sobre los nombramientos y designaciones de los DPD´s. Cierto es que tiene alguna competencia residual o genérica en protección de datos, que pudiera absorber ese vacío, pero su utilización me abre alguna dudas más: ¿La Agencia Vasca y la Autoridad Catalana tienen la misma función receptora de comunicaciones de DPD debiendo esperar las respectivas Administraciones Autonómicas a la adecuación de sus órganos de control o únicamente lo realizará la AEPD?¿Es una de las funciones exclusivas de la AEPD? ¿Esa comunicación incorporada en su sede electrónica tiene la consideración de trámite administrativo y por tanto, finalizará con una resolución? y por último, ¿se está comunicando una designación a un Registro Público Administrativo -regulado por Ley- en el que terceros interesados podrán acceder a dichos datos o es simplemente un inventario de DPD´s?

En estos tiempos procelosos de la protección de datos debemos actuar con cautela y al mismo tiempo ser aventurados, pero sin ser aventados. Creo que, aunque las funciones de la AEPD de recibir las comunicaciones de nombramientos de los DPD´s recaerán finalmente en ella por Ley, deberían evitarse prisas innecesarias que generan una sensación de improvisación más que de sosiego.

 

Interoperabilidad y seguridad: ¿interna o externa?

Posiblemente a los lectores versados en la materia considerarán que la interoperabilidad  y  seguridad son materias consolidadas, sin que la característica relativa a sus interlocutores aporte ninguna cualidad diferencial. Ciertamente, en el ámbito de la regulación legal ambas cualidades tienen un contundente apoyo legal, tanto por los artículos 41 y 42 de la derogada LAECSP, como por los actuales artículos 155 y 156 de la LRJSP.  Estas normas han propiciado el desarrollo de los Reales Decretos 3/2010 ENS y 4/2010 ENI, extendiendo su aplicación  en las Administraciones en todo lo referente a la seguridad, a los documentos electrónicos, expedientes electrónicos, firma electrónica dentro de la administración, copias autenticas, intermediación de plataformas, intermediación de registros, catálogos de estándares,… Las Administraciones están realizando un inmenso trabajo de adecuación de sus sistemas a estos requisitos, adhiriéndose a plataformas del Estado, CCAA y Diputaciones que ofrecen soluciones que individualmente les serían inalcanzables.

Curiosamente este inmenso esfuerzo, al cual reconozco toda su valía, eficacia y sentido, le encuentro una pega que, sin que sea escandalosa, debería ser objeto de reflexión: todos los artículos arriba mencionados, tanto los de la LAECSP como de la LRJSP, se encuentran amparados en Títulos o Capítulos que curiosamente se denominan “Cooperación entre administraciones para el impulso de la administración electrónica” o “Relaciones electrónicas entre las Administraciones“, dejando una duda en el aire relativa a si todas las medidas de seguridad, todos los sistemas de control, todos los sistemas de documentales, expedientes, archivos,… tienen que aplicarse a toda Administración ad intra o únicamente a las relaciones de la Administración ad extra.

Es significativo que diferentes artículos de ésta y otras normas apliquen los criterios de seguridad como algo interno (v.gr. artículo 46 LRJSP. Archivo, artículo 17 LPACAP. Archivo o el  artículo 27 LPACAP denominado copias) cuando realmente parece que debería aplicarse sólo para las relaciones externas.

Posiblemente se me achacará una interpretación purista y lineal de los textos legales, en la que con una visión integradora pudiera conseguirse mejores resultados, al ser más conveniente y adecuado aplicar los mismos criterios a lo interno y a lo externo, ya que lo contrario sería inmiscuirnos en la capacidad de auto organización de cada Administración. Pero como no puedo desprenderme de mi visión, no ya jurídica, sino de abogado debo poner el acento en las reclamaciones patrimoniales que es lo único que a todos nos despierta interés. Si en un futuro lejano se produce un fallo en la Confidencialidad y Seguridad de la información -un ciber-ataque, por ejemplo-, contra una Administración -y sin entrar en el tratamiento de datos personales- ¿los ciudadanos afectados reclamarán por un incumplimiento del Resultado o por un incumplimiento de los medios establecido en el ENS? ¿El ENS se aplica a todo?¿Tenía obligación la Administración de aplicarlo a la información interna o sólo a la trasmitida? ¿Qué tipo de obligación se establece en el ámbito administrativo respecto a su obligación de asegurar la información?

Son preguntas que no soy capaz de responder, pero al menos hacen que la reflexión planteada no disponga de una respuesta tan obvia que elimine todo debate posterior.

 

Competencia respecto al Esquema de Certificación AEPD-DPD

Ciertamente siempre he tenido en gran consideración y estima la doctrina emanada desde la AEPD, en la que la suma de sus resoluciones, informes y guías han confeccionado un entramado científico, en cuanto al orden, que nos ha ofrecido soluciones a los problemas que la normativa no era capaz de exponer con el detalle y rigor preciso en el caso concreto. Con el paso de los años esa doctrina ha ganado en valor y prestigio, dado que si se mantiene en el tiempo y es capaz de soportar los embates del cambio, destila una estructura sólida desde sus principios.

Esta introducción era necesaria, dado que la crítica posterior no puede partir del desapego, sino de tratar de comprender los extraños giros que aparentemente desmerece la sapientia construida certeramente y con tanto atino en los últimos años. Sin entrar en el contenido concreto del documento denominado ESQUEMA DE CERTIFICACIÓN DE DELEGADOS DE PROTECCIÓN DE DATOS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (ESQUEMA AEPD-DPD), que requerirá de otros artículos, me surge una duda previa respecto a la competencia ejercida -muy del gusto jurídico- , previa superación del susto que produce la advertencia que incluye dicho documento a lectores referente a la propiedad intelectual del mismo, así como a la reutilización del documento, olvidando los preceptos contenidos en la  Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, así como su Real Decreto de aplicación al ámbito estatal. Una vez dominado el pánico inicial, queda su advertencia más como una caricatura que cómo una auténtica advertencia.

Entrando en debate y analizando el documento como tal, no podemos obviar su análisis desde la perspectiva de la competencia. Es posible que con la entrada en vigor del Anteproyecto de Ley que adapta a nuestra legislación el Reglamento, las competencias y funciones de la AEPD se amplíen y adecuen a la nueva realidad, pero a fecha actual, no consigo encajar la acción de este esquema de certificación dentro de las competencias del artículo 37 de la LOPD ni del Estatuto de la AEPD. Posiblemente, dentro del cajón de sastre del 37.1.n pudiera -de alguna manera-encajarse el documento, pero hubiese aclarado enormemente la potestad que ejerce, dado que la creación de un esquema de este tipo, en el que advierte y permite a “la AEPD verificar[..] que se cumplen continuamente las obligaciones derivadas del reconocimiento y del uso de la Marca de Conformidad “, debiera disponer de un apartado que aclarase dicho aspecto.

Pudiera considerarse una cuestión menor, pero si se producen incumplimientos por las Entidades de Certificación, por los DPO, por cualquiera que utiliza dicho esquema ¿La AEPD está investida de los poderes competenciales-administrativos para  iniciar un procedimiento de revocación del uso de “su marca”? ¿Deberá acudir a la vía ordinaria para cumplir y hacer cumplir el adecuado uso de su esquema? A mi entender estos aspectos tienen gran trascendencia dado que no es lo mismo combatir a la AEPD en su terreno administrativo en el ámbito jurisdiccional, en el que no se encuentra protegido de sus prerrogativas administrativas. Tampoco hallo, igual por impericia, de un sustento en una instrucción, circular, norma o resolución, aún de rango inferior que publique un esquema de tal relevancia, en el que se sustentarán diferentes soluciones, actores y organizaciones y que servirá para solucionar uno de los problemas de más complejo encaje en nuestro sistema jurídico.

Quiero suponer que ya habrá sido analizado de forma pormenorizada, dado que no creo que la AEPD se haya dejado convencer por cantos de sirena, ya que uno de los principios del DPO es disponer de “conocimientos especializados del Derecho y la práctica en materia de protección de datos“.

Blockchain: perspectiva jurídica

Ciertamente no soy muy dado a realizar comentarios sobre la tecnología que soporta los diferentes sistemas de información, tanto por desconocimiento como por convicción. Las Ciencias del saber son muy amplias y requieren, para opinar con un cierto seso, dominar en profundidad la materia, resultándome muy embarazoso realizar un juicio de valor sobre algo que no conozco en toda su extensión. Dicho esto, y con la prudencia que debe caracterizar todo análisis superficial, no puedo resistirme a plasmar unas ideas sobre el Blockchain.

La primera aproximación a esta tecnología debería permitirme mostrar una definición, aspecto harto difícil, dado que nada entiendo al respecto, destacando otros aspectos o características, tales como que su objetivo radica en transmitir de una forma segura información o bloques de información con el fin de disponer de la forma más confiable de documentos electrónicos entre los participantes de dicha red. El contenido, objetivo y finalidad de la transmisión segura de dicha información queda al arbitrio de las partes, pudiéndose transmitirse datos médicos, contables, fiscales, facturas, mercantiles, o documentos que liberen de obligaciones de pago, como los ya famosos bitcoins o criptomonedas, sin entrar en estos últimos en su naturaleza jurídica que daría para un debate en otro post. En suma, se transmite información de una forma altamente segura.

Partiendo de este supuesto de hecho, resumido y simplificado, que seguramente oculta otras tantas potencialidades del uso de esta tecnología, deberíamos ser capaces de apuntar la normativa básica de aplicación. En primer lugar, y siempre que haya un documento electrónico, parece obvio que se deberá acudir a la normativa (vigente?) de Firma Electrónica, que es la Ley básica que establece las condiciones de los documentos electrónicos así como el nivel de firma aplicable para lograr un nivel aceptable de seguridad entre las partes intervinientes. Desde mi punto de vista, ésta debe ser la primera aproximación jurídica, y si las conclusiones que se obtengan, satisfacen a los usuarios del blockchain continuar con las siguientes.  A partir de aquí, deberemos analizar el tipo de información que se transmitirá, debiendo determinar si se aplicarán normas del ámbito del Sector Público o por el contrario, del Sector Privado, derivándose en normativas sectoriales diferentes dependiendo de la finalidad del tratamiento. No debe olvidarse que las normas que regulan la transmisión de la información en el Sector Público, desde hace 7 años, son más restrictivas que la relativa libertad que rige en el ámbito privado, siendo muy importante el establecimiento de una relación contractual previa, en los aspectos dispositivos, que permitan contemplar y detectar los potenciales problemas para ofrecer la solución mediante la correspondiente consecuencia jurídica. Todo ello, sin obviar la normativa horizontal de protección de datos.

En conclusión, la tecnología soportada en Blockchain posiblemente discurrirá en un exitoso desarrollo y despliegue pero, como el resto de tecnologías, para lograr un éxito completo deberá hacerse un hueco en el espacio normativo que le permita, no sólo aportar soluciones fiables, seguras, confiables, sino exponerlas jurídicamente bien estructuradas para cerrar ese ciclo del virtuosismo.

El DPO, la mayúscula y las traducciones

Comentaba acertadamente mi compañero de Blog, Gontzal Gallo, cómo la redacción del nuevo Reglamento Europeo (R(EU)) en materia de protección de datos inducía a pensar que sólo los profesionales del Derecho podrían acceder al nuevo cargo denominado como DPO o DPD en su acrónimo castellano.

El fundamento del debate se centra en el texto del artículo 37.5. de dicho R (EU), en el que manifiesta que “el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”. Es decir que, aunque ya está indicado en el propio texto expuesto,desgajando por requisitos,  el DPD debería cumplir:

1.-Cualidades profesionales

2.- Conocimientos especializados del Derecho

3.-Práctica en materia de protección de datos

4.-Capacidad para desempeñar funciones del artículo 39.

Es evidente cómo el segundo de los requisitos es el referido a los “conocimientos especializados del Derecho“, destacando la redacción en mayúscula del término Derecho, además de requerir que dicho conocimiento sea especializado, no genérico, no superficial. Estos dos aspectos, en mi opinión, son trascendentes dado que Derecho con mayúsculas equivale al conocimiento de nuestra Ciencia Jurídica, escribiéndose, por el contrario, con minúscula (derecho del trabajo, derecho procesal, derecho de protección de datos,…) cuando se menciona uno de los ámbitos concretos del mismo. La conjunción del término Derecho y especializado sólo pudiera llevar a interpretar que las personas con un conocimiento especializado en Derecho, léase, licenciado o grado en Derecho pudiera disponer de las herramientas y del conocimiento jurídico suficiente y reconocido para poder interpretar especializadamente el Derecho, dado que genéricamente el Derecho puede ser conocido e interpretado por muchas profesiones e individuos: todos opinamos sobre la liga de fútbol, pero sólo unos pocos juegan en la liga de fútbol…

Como en ocasiones anteriores, anticipo muy a mi pesar, que los juristas tenemos la batalla perdida, sobre todo desde que el Grupo del Art. 29 ha publicado sus Directrices, realizando una traducción del artículo 37.5 comentado bastante diferente al publicado en BOE, y más cercana a la versión inglesa del R(EU) “expert knowledge of data protection law“. Estas Directrices indican que el DPO requiere “conocimiento experto de la legislación“, complementándose  con el comentario incluido en dicha Directriz en el que manifiesta que”los DPD deben tener conocimiento de las leyes y prácticas de protección de datos tanto nacionales como europeas y una comprensión profunda de la NGPD”. Evidentemente, su especialización se circunscribe únicamente a protección de datos, no al Derecho.

Es un debate abierto, incipiente, con matices, que requiere consenso pero en cualquier caso  y se adopte cualquiera de las interpretaciones sobre el “conocimiento jurídico”, ¿quién se arrogará la posición de acreditar ese conocimiento del Derecho o del derecho en protección de datos? ¿Una entidad de Certificación? ¿Los Órganos de Control?¿Una asociación? ¿No es suficiente el título de licenciado o grado en Derecho? Quien puede lo más debería poder lo menos…

Curiosamente, parece que como siempre el sector jurídico -dígase Colegios y Universidades- más preocupados en otras pendencias de mayor calado, dejará pasar la oportunidad de hacer valer nuestros derechos reconocidos por el Derecho, no sea que hiramos otras sensibilidades al poder pensarse que sabemos interpretar el Derecho.

 

El portal de internet en el Sector Público

Es una obviedad lo mucho que queda por debatir respecto al contenido de las novedosas leyes administrativas básicas, cuya implantación definitiva no se producirá hasta bien entrado el año 2018, pero no puedo resistirme a seguir compartiendo mis aportaciones al respecto. En este artículo analizaré, someramente, el interesante artículo 39 de la Ley 40/2015 que recoge una nueva figura: el portal de internet. Si eres un lector acostumbrado a leer materias relativas a las nuevas tecnologías reflexionaras sobre la poca trascendencia, enjundia y novedad  de una regulación que menciona  la presencia electrónica del Sector Público, y que tuvo su apogeo tecnológico hace una década, convirtiéndose , por tanto, este reflejo normativo del artículo 39 en una no-novedad.

Pero lo interesante de las normas es que la designación de una situación por una Ley le otorga carta de naturaleza jurídica a un hecho que hasta ese momento se desenvolvía en el ámbito de la ética o en limbo de lo incatalogable y eternamente debatible. Esta nueva realidad jurídica debe ser integrada con el presente, el pasado y el resto del ordenamiento jurídico.

Hagamos un breve excursus en esta materia: Con la entrada en vigor de la Ley 34/2002 se produjo un salto cualitativo al regular el mundo electrónico, y en concreto internet, aprobándose unas reglas relativas a la responsabilidad de contenidos, de uso, de copias , de publicidad, links y contratación cuyo obligado y depositario se denominaba genéricamente Prestador de la Sociedad de la información (PSI). Esta norma generó un importante debate, sobre todo por el alcance y las obligaciones que imponía, jugando con el criterio de la onerosidad, siendo el concepto llave que facultaba la inclusión o exclusión en dicha normativa. Como consecuencia de dicho criterio, si la actividad desarrollada por el PSI estuviera regida por  una finalidad onerosa, en lo más extenso del término, dicha presencia electrónica estaría incluida en el ámbito de la Ley. Así la información publicada por una sociedad empresarial siempre se consideraba con un ánimo remuneratorio o mercantil, aunque no fuese directamente el manifestado o aparente. En esta dinámica las personas físicas podían verse excluidas o incluidas de la aplicación de dicha Ley dependiendo de si su presencia en internet se veía beneficiada por acompañarse de algún tipo de publicidad que financiase su portal, página o blog. Si el mismo se encontraba impoluta de cualquier tipo de referencia sospechosa,  no se producía inclusión.

Como podrá percibir el lector, esta disyuntiva dejaba un caballito blanco: la Administración o siendo más preciso, gran parte del Sector Público. ¿Se le aplicaba la Ley 34/2002? El Ministerio manifestó raudo y tajante su posición NEGATIVA, salvo que dicha Administración realizase algún tipo de actividad que conllevase contra-prestación (vgr. venta de libros por internet bajo precio público). En el resto de supuestos no se aplicaba dicha normativa. Entonces, ¿la actividad administrativa en internet no se encontraba sometida a ninguna ley específica? Desde el año 2002 era complicado responder con taxatividad a dicha pregunta, hasta que en el año 2007 se aprobó la Ley 11/2007. Pero debe indicarse que a dicha norma sólo le preocupaba la presencia desde el punto de vista del trámite en la Sede Electrónica, no de toda la presencia de la Administración en Internet, dejando igualmente un espacio de inaplicación que se veía reforzado por una sectorización normativa que despistaba al más avezado lector. A las páginas web de las Administraciones ni se le aplicaba la Ley 34/2002 ni la Ley 11/2007, quedando en el limbo  jurídico. Evidentemente la aplicación generalista de la Ley 11/2007 no era una solución dado que las exigencias jurídico-tecnológicas que establecía para la Sede Electrónica serían de imposible mantenimiento, no siendo el alcance de dicha Ley tan amplio como para alcanzar indubitadamente todo el universo de actividades del Sector Público. Desde el punto de vista de la proporcionalidad, tampoco se intuía que una web administrativa -ligera tanto en seguridad como en contenidos- debiera ser tan rigurosa como la Sede.

Pues bien, esta situación diferenciada en el que las webs de las Administraciones no se les aplicaba la Ley 34/2002 ni la Ley 11/2007 ha sido ratificada por el legislador, que ha percibido su diferente naturaleza jurídica y su necesidad de regulación especial. Ahora bien, tampoco esperemos grandes alardes imaginativos en su regulación, dado que dicho portal se define como “el punto de acceso electrónico cuya titularidad corresponda a una Administración Pública, organismo público o entidad de Derecho Público que permite el acceso a través de internet a la información publicada y, en su caso, a la sede electrónica correspondiente“. Resumiendo, su contenido alcanza a un acceso a información publicada, con toda la amplitud que el término permite, además de facilitar el acceso a la sede electrónica.

Esta situación me suscita la siguiente duda, que os propongo para su reflexión, al igual que ocurría anteriormente: Si el portal de internet se incluye dentro de la Ley 40/2015 ¿supone que deberá cumplir con el ENS? ¿Tendrá que cumplir con el ENI? ¿Tendrá que estar en el catálogo de aplicaciones reutilizables? ¿El hecho de incluirlo en la Ley 40/2015 en vez de crear un régimen especial lo ha arrastrado hacia las obligaciones y deberes de la gestión Pública en toda su extensión?

Personalmente me parece un debate interesante, sobre todo si se analiza pormenorizadamente una web del Sector público en el que se incluyen fotos, tweets, links, calendarios, tiempo atmosférico, ofertas de empleo, restaurantes,… ¿Esta información deberá cumplir los criterios establecidos desde la Ley 40/2015? Como siempre lo dejo para que la mejor doctrina profundice en estos vericuetos jurídicos.

 

El controvertido consentimiento del art. 28 de la Ley 39/2015

El consentimiento expresado por las personas, su manifestación, vicios, formas y modos es una institución claramente estipulada por la normativa civil, siendo la referencia para el resto de ámbitos jurídicos.Por todos es conocido como el Tribunal Supremo ha afianzado las tres categorías del consentimiento, clasificándolos en expreso, tácito y presunto. En el tracto de los negocios jurídicos es realmente importante que exista un consenso sobre sus condiciones y validez, dado que al ser el acto de exteriorización de la voluntad de las partes sigue siendo el fundamento de todo acuerdo. Es en este consenso jurisdiccional, se ha establecido que únicamente los consentimientos catalogados como expreso y tácito conllevan una valoración positiva, siendo el presunto rechazado por no cumplir con los requisitos de una auténtica exteriorización de la voluntad.

Otras normativas, -protección de datos, consumidores, telecomunicaciones, comercio electrónico-, han reutilizado la doctrina civilista, añadiendo calificativos que han tenido que ser integrados en las categorías generalmente aceptadas, dado que la Ciencia Jurídica se fundamenta en ofrecer una respuesta armónica ante los mismos supuestos, ya que de otra forma dejaría de ser Ciencia.

En el ámbito de la Administración Electrónica, a mi modo de ver, este modo de prestar el consentimiento ha sido subvertido, dado que desde la Ley se presume la existencia de un consentimiento, convirtiendo a la negación en la auténtica expresión de la voluntad. A este respecto hay que remitirse al texto del artículo 28.2 de la Ley 39/2015, que indica que “se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.” El hecho y el consentimiento deben contextualizarse en un supuesto como el siguiente: Imagine que se encuentra tramitando un procedimiento administrativo, en el mismo debe aportarse una documentación que ya consta en alguna Administración. Según dicha normativa, no tiene que autorizar la búsqueda y remisión de dicha documentación, dado que se presume que ya lo ha consentido. Hasta aquí parece que es una comodidad para el peticionario, pero ocurre que en los procedimientos hay documentos facultativos o preceptivos (artículo 28.2 Ley 39/2015), que presentaremos según convenga a nuestra pretensión. ¿Con esta normativa, salvo que nos neguemos, podrán hurgar en todos nuestros documentos generados por la Administración aunque no queramos presentarlos si no lo manifestemos expresamente? ¿Puede buscar en Boletines, Registros y archivos sin mi consentimiento? ¿Tanto cuesta poner un “click” en el que el interesado manifieste expresamente que permite el acceso a dichos datos si quiere seguir el trámite? ¿Considera el legislador que los interesados son torpes, olvidadizos o que es mejor no preguntarles, para que no piensen? O por el contrario ¿Quieren que dicho consentimiento se convierta en una autorización que otorgue carta de naturaleza a cualquier cesión de datos por inverosímil que parezca?

Esto, aunque amparado por una Ley, es un consentimiento presunto: por mis actos se presume que estoy otorgando el consentimiento “hasta no se que límite“, siendo la propia Ley la que así lo manifiesta, “se presumirá que la consulta es autorizada“. ¿Pudiera pensarse que es un consentimiento Tácito en el que estoy obligado a manifestar mi voluntad si no estoy conforme? Si fuese así, me tendrían que indicar exactamente antes de obtener copias qué datos concretos van a reutilizar, para que pueda manifestar mi voluntad.

Es un interesante supuesto para que los Órganos de control manifiesten su parecer y actúen como controlador ante estas leyes Administrativas Electrónicas que carecen de Defensor exclusivo e independiente. Brindemos por su pronto análisis y por las fiestas venideras.

 

El Defensor del Usuario en la Administración Electrónica

Siempre me ha parecido curioso detectar la creación de figuras o instituciones jurídicas cuya existencia no llega a eclosionar o su recorrido está lleno de vicisitudes. Algo de esto le ha debido de ocurrir a una figura que contemplaba la derogada Ley 11/2007, denominada en su artículo 7 Defensor del usuario de la administración electrónica, cuya existencia ha pasado ciertamente desapercibida.

Personalmente, y aunque estaba limitada al ámbito de la Administración General del Estado, sus competencias podrían haber sido el contrapeso eficaz a esta nueva Administración Electrónica que todo lo puede, que a todos nos arrastra y obliga, y que sólo admite el recurso procedimental o en jurisdicción para hacer valer las obligaciones en esta novedosa materia.

Debe tenerse en cuenta que, aunque se trabaje con ahínco y esfuerzo por todos los intervinientes en la implantación de la Administración electrónica, no siempre devendrá virtuosa ni respetará todos los mandatos legalmente establecidos, tanto por errores, equívocos, por presupuestos ajustados o por problemas humanos, pareciendo adecuado la existencia de un Órgano independiente que velase por los derechos de los interesados.

Y lo indico porque está muy bien cargar de derechos la mochila de los interesados en este nuevo sistema de relaciones con la Administración pero para que realmente se respeten los mismos, está mejor crear un Órgano que vigile, controle y inspeccione lo realizado. Aquí es donde me parecía un acierto la creación de dicho Defensor, recomendando que se repitiese en los diferentes ámbitos del resto de Administraciones.

Por otra parte, no puede obviarse el momento histórico y económico en el que se creó , y la posterior situación financiera del Sector Público que llevó a recortes en toda la Administración, re -ubicando organizaciones y eliminando otras, pudiendo considerarse la creación de dicho Defensor como un gasto superfluo en un escenario económicamente restrictivo.

Pero si la idea es buena ¿podríamos forzar de manera indirecta su esencia? Evidentemente no podemos darle vida, pero sí existen otros Órganos que pudieran de alguna manera asumir sus competencias como son las Agencias de Protección de datos, los Consejos o Entes de Transparencia y los Defensores del Pueblo. Evidentemente todos ellos pueden controlar la Administración Electrónica de forma colateral o en algún caso, sin una capacidad ejecutiva, pero al menos pueden ser la palanca eficaz para que el cumplimiento de los derechos de los interesados puedan compelerse por otras vías que no sean directamente la jurisdiccionales. Esta afirmación pudiera dar lugar a pensar que estoy en contra de la jurisdicción contenciosa, y puedo afirmar -como abogado- que nada más lejos de eso dado que es mi sustento, pero la experiencia me indica que el coste que supone su tramitación y la gestión de la carga de la prueba son obstáculos suficientemente gravosos como para que los ciudadanos no quieran iniciar aventuras de resultado incierto. ¿Qué abogado no querría disponer de un tercero de reconocido prestigio que le consiguiera y acreditase pruebas referidas a los incumplimientos técnicos una tramitación electrónica a coste 0?Por contra, ¿Cuánto dinero tiene que gastar un ciudadano en peritos, especialistas en diversas ramas tecnológicas, para demostrar ante SSª que una plataforma no respeta los criterios legales? Hagan cálculos.

En resumen, al Defensor del usuario de la Administración Electrónica ni está ni se le espera. Será el tiempo y la implantación de la Administración Electrónica la que juzgue si fue un capricho o un acierto su prematura defunción.