Derogación de la Ley de Firma Electrónica del 2003

Desde la publicación y entrada en vigor del EIDAS (Reglamento (UE) n.º 910/2014) se vivía en una cierta incomodidad jurídica por convivir un Reglamento Europeo de aplicación inmediata con nuestra Ley de Firma electrónica. Tampoco debe entenderse como un drama que paralizase el tráfico jurídico en el ámbito electrónico pero sí es cierto que ambas normas no encajaban con la armonía que debieran. Aspectos como la regulación de la firma electrónica avanzada, los sellos electrónicos o los sistemas de firma de las personas jurídicas han sido aspectos sometidos al debate por encontrarse regulados de diferente forma en ambas normas.

En la anterior legislatura se trabajó con un proyecto de norma que derogaba la Ley 59/2003, (LFE) argumentando ese mismo dislate, pero durante este período de tiempo hemos sobrevivido con parches que no han hecho más que avivar el debate sobre si realmente era necesaria una nueva nueva norma -por la supuesta incompatibilidad de ambas- o si es que los lectores no teníamos la suficiente finura para leer entre líneas y encajarlas con soltura.

Es interesante recordar cómo la LFE desde el año 2014 hasta la actual derogación ha sufrido 6 modificaciones, que en mi modesta opinión, no pueden entenderse si realmente no se producían para realizar una interpretación más coherente con la norma jerárquicamente superior. Entre estas modificaciones, cabe recordar :

el art. 13, por Real Decreto-ley 28/2020, de 22 de septiembre.
el art. 13, por Real Decreto-ley 27/2020, de 4 de agosto.
el art. 15.1, por Real Decreto-ley 14/2019, de 31 de octubre .
el art. 3, por Ley 39/2015, de 1 de octubre ).
los arts. 3.2, 6.2, 7.2, 12.c), 18.a) y b), 20.1.e), 23.1.c) y d), el 29.5 por Ley 25/2015, de 28 de julio.
el art. 8.2, por Ley 9/2014, de 9 de mayo.

Esta catarata de modificaciones sin afrontar una modificación completa de la Ley de firma electrónica ha otorgado una cierta apariencia de coordinación entre el EIDAS y la LFE, no ofreciendo ese concepto tan abstracto y que parece tan difícil de conseguir, como es la Seguridad Jurídica.

De cualquier de las maneras, demos la bienvenida a la nueva Ley y deseémosle larga vida, para que seamos capaces de conocerla e interpretarla de la forma más homogénea posible.

Real Decreto-ley 28/2020 de trabajo a distancia: 5 apuntes.

Como estaba anunciado ha sido publicado hoy en el BOE el Real Decreto-ley 28/2020 que regula el trabajo a distancia, siendo una norma que transciende al ámbito puramente laboral por afectar diferentes aspectos tecnológicos. Mi primer comentario incide -como en ocasiones anteriores- al forzado uso recurrente de los Reales Decreto Ley, que si bien trata de excusarlo explicando en su expositivo VII la doctrina constitucional que lo sustenta, resuelve en una línea su aplicación al supuesto del trabajo a distancia: “la grave incidencia de la pandemia en el empleo y en la recuperación económica con altos grados de incertidumbre causados por los «rebrotes», la necesidad de procurar una ordenación segura, general y eficaz que evite mermas de derechos o situaciones de inseguridad“. En mi opinión, ese argumento es bastante pobre ya que sirve para aprobar tanto esta norma como la de recogida del tomate. En el fondo subyace un atajo en los tiempos, que luego puede tener consecuencias desagradables si previamente no está muy bien cocinado.

Dicho esto, y con todo el respeto a los aspectos laborales de los cuales no soy especialista, destaco los siguientes aspectos:

Protección de los datos de los trabajadores y de la intimidad: realmente se reconocen ambos derechos pero no se regula nada que no sea por todos conocidos en esta materia, con la salvedad de la no posibilidad de exigir la utilización de dispositivos propiedad de la persona trabajadora. No indica que no se puedan utilizar esos dispositivos propios, manifiesta que el empleador no puede exigir su uso. A partir de ahí se producirán los problemas entre el control y la gestión de herramientas propiedad del trabajador, tema de debate para todos aquellos que han analizado el BYOD y que sigue sin cerrarse.

La desconexión digital: otro gran derecho ya recogido en la LOPDGDD, que seguramente tendrá un gran futuro pero necesita de un sólido recorrido jurisprudencial del cual carece en la actualidad. Los hechos son tozudos y quien conoce la realidad del mundo interconectado laboral sabe que queda un gran debate de fondo.

Seguridad y protección de datos de los sistemas: desde otra perspectiva se menta los criterios de protección de datos, imponiendo a los usuarios finales políticas y medidas de seguridad sobre la información que traten, algo totalmente lógico.

Modificación de la Ley 59/2003: se modifica la ley de firma para admitir otra forma de acreditar la personalidad que no sea por el criterio general del artículo 13.1 de la misma norma: “la identificación de la persona física que solicite un certificado reconocido exigirá su personación ante los encargados de verificarla“. Esta afirmación tan estricta se mitigaba en el apartado 4 de la misma, pero ahora se añade un apartado 6 en el que se profundiza en la exploración de dicha vía no presencial.

Modificación de la Ley 39/2015: ¡La modificación que nos faltaba! Segundo intento de conseguir vía Real Decreto Ley que la entrada en vigor de la Ley 39/2015 se produzca el 2 de abril de 2021. Personalmente no se porqué no se aprovecha y se amplia ya hasta el 2022, parece que hay cierto pudor en reconocer el estado de la situación y sobre todo, la falta de desarrollos normativos (léase Reglamento y NTI´s) que articulan su correcto y coherente despliegue. Esperemos pacientemente a dicha fecha, que igual hace falta otro Real Decreto Ley que con urgencia nos indique que hay que posponer la entrada en vigor.

En resumen, una norma que si es finalmente ratificada puede ser un buen punto de partida para debatir aspectos laborales-tecnológicos.

E-Administración y su fecha: ¿volvemos a octubre de 2020?

Escribo otra vez, no sin cierta pesadez, con la temática relativa a la fecha en que entrará en vigor definitivamente la e-administración y que con tanta modificación normativa va dejando un cierto agotamiento y malestar por la sensación de desconocimiento del sector e improvisación constante. Haciendo un breve repaso recordaremos cómo la fecha inicial establecida por la Ley 39/2015 fue el 2 de octubre del año 2018, en el que el horizonte de 3 años desde la aprobación de la Ley parecía lejano y plausible, en una sensación de avance vertiginoso de las tecnologías sin parangón, desinflando dicha alegría el mero paso del tiempo y el control real de los avances. Ante esa nueva realidad tuvo que ampliarse deprisa y corriendo el plazo por el Decreto-ley 11/2018, estirándolo hasta 2 de octubre del año 2020. Pero hete aquí que más allá de la desastrosa pandemia que vivimos los plazos son los que son y tampoco llegamos a los objetivos tecnológicos-organizativos-operativos marcados, por tanto, todos sabíamos que debían extenderse los plazos, pudiendo haberse aprobado una norma con rango de ley que ampliase los plazos de ese 2 de octubre de 2020, incluyendo un plazo convincente, real y alcanzable por todos .

Pero no, la solución vino por esa norma publicada con el verano, un Real Decreto-ley 27/2020 dedicado a medidas financieras, de carácter extraordinario y urgente, aplicable a las entidades locales (que nada tiene que ver con la e-administración) y con una forma de norma de Real Decreto Ley, es decir que tal y como indica el art. 86 de la Const. esos instrumentos jurídicos deben utilizarse solo en “caso de extraordinaria y urgente necesidad“, estirándose los plazos, con cierta nocturnidad, hasta el 2 de abril de 2021. Circunstancias de la vida, el Congreso de los Diputados en su reciente sesión del 10 de septiembre ha derogado dicho Real Decreto Ley. Se puede pensar que SSª no están pensando en sus prioridades en que la no ratificación del mismo tendría estas consecuencias en la e-administración, pero la realidad es que a día de hoy no tenemos norma que sustente la extensión del plazo hasta el 2 de abril del 2021.

Ahora es cuando pueden realizarse las apuestas ¿Se aprobará una norma con rango de Ley que extienda los plazos? El 2 de octubre está a la vuelta de la esquina, pero no nos preocupemos que seguramente tendremos más post (este creo que es el cuarto…) para comentar cuándo realmente entrará total y definitivamente en vigor la e-administración.

Re-nuevo plazo de la e-administración

Qué mejor que agosto, una norma como un Real Decreto Ley en vez de una ley y qué mejor que introducir una Disposición Final sexta en un texto relativo a medidas financieras urgentes aplicables a las entidades locales, para que pase totalmente desapercibida una nueva moratoria en la aplicación de la administración electrónica. A estas alturas pocas cosas sorprenden, aunque tiene cierto tufo de nocturnidad este tipo de aprobaciones, debemos darnos por enterados y para conocimiento general saber que la Disposición Final Sexta del Real Decreto-ley 27/2020, dedicado a las medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales ha ampliado el periodo de in-aplicación de la e-administración hasta el día 2 de abril de 2021: ¿será la última? ¿se aprovechará para aprobar los desarrollos reglamentarios y las Normas técnicas que faltan?

La excusa del retraso se fundamenta en el COVID-19, -que sea dicho de paso ha sido uno de los grandes motores de la digitalización forzada de administraciones y particulares-, manifestando la exposición de motivos que “el riesgo manifiesto desde el punto de vista técnico-organizativo de no concluir a 2 de octubre de 2020 los procesos de adaptación, imposibilidad que puede afectar no solo al ejercicio de los derechos de los interesados sino a la interoperabilidad del funcionamiento de todas las administraciones públicas” ha sido el que ha llevado al nuevo aplazamiento.

Seamos positivos y pensemos que alcanzaremos la plenitud en un breve período, y sobre todo, que para el 2 de abril de 2021 los mas de once mil ochocientos sujetos obligados a implementar este sistema tecnológico serán plenamente interoperables.

Real Decreto-ley 25/2020: regreso al pasado

Estáis de suerte todos aquellos que os gustan los debates infinitos e inacabados sobre protección de datos en su relación con la administración electrónica, ya que el reciente Real Decreto-Ley 25/2020 aporta más leña sobre el consentimiento y la vigencia de la Ley 11/2007. Si disfrutas con esa dialéctica, este Real Decreto Ley es vuestro nuevo terreno de juego.

El artículo 23 comienza realmente bien, haciendo una remisión expresa a los criterios de tramitación y notificación de la Ley 39/2015, pero esa lucidez se va torciendo en el apartado 7 del mismo artículo. El mismo indica:

7. Los solicitantes no estarán obligados a presentar los documentos que ya obren en poder del órgano competente para la concesión, de conformidad con lo previsto por el artículo 28.3 y 53.1.d) de la Ley 39/2015, de 1 de octubre, debiéndose cumplimentar específicamente en el cuestionario de solicitud en qué momento y ante qué órgano administrativo presentó los citados documentos, para lo cual indicará el número del expediente que le fue comunicado en aquella ocasión, siempre y cuando no hayan transcurrido más de cinco años desde la finalización del procedimiento al que correspondan. En cumplimento de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de datos personales y garantía de los derechos digitales y del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), se solicitará el consentimiento expreso para el tratamiento por parte del Ministerio, de los datos incluidos en el cuestionario por el solicitante. En los supuestos de imposibilidad material de obtener el documento o cuando el interesado manifestará la negativa para la consulta de sus datos de carácter personal, el órgano competente requerirá al solicitante su presentación, o, en su defecto, la acreditación por otros medios de los requisitos a que se refiere el documento

Como bien sabéis, los órganos de control han emitido diferentes notas y dictámenes indicando que el tratamiento de datos por parte de la administración no se sustenta en la base legitimadora del artículo 6.1.a) del RGPD, si no -como pudiera ser en este caso- en una obligación legal o en el cumplimiento de una obligación de interés público. Por otra parte, vuelve a abrir el melón del derecho de oposición del artículo 28.2 de la Ley 39/2015, considerando que la Agencia Española había dictado unas “orientaciones” antes del comienzo del Estado de Alarma en el que consideraba que no debía ofrecerse ese derecho a los solicitantes:

Esta interpretación se traduce, en términos prácticos, en que, a la hora de recabar datos de los ciudadanos vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la administración actuante realizará el tratamiento en cumplimiento de una obligación legal, una misión de interés público o en el ejercicio de poderes públicos. La administración actuante deberá informar al administrado, en aplicación del principio de transparencia, sobre los datos que van a ser consultados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, facilitando información en relación a los cauces para hacerlo, pero sin ser necesario ni obligatorio la inclusión de una casilla o mecanismo que permita al interesado ejercer el derecho de oposición ad nutumde forma absoluta y sin justificación motivada. De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.
Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la administración actuante a la administración cedente de los datos responsable de estos.

¿Está revelándose AGE contra los planteamientos de la Autoridad de Control? o ¿es esta tramitación ese tipo de legislación específica que regula la necesidad de un consentimiento expreso? ¿Qué tendría de especial esta tramitación para solicitar este consentimiento expreso? ¿El consentimiento es un requisito imitable para los siguientes textos normativos?

Siguiendo con la protección de datos, tampoco tiene desperdicio el artículo 51, denominado Confidencialidad y protección de datos de carácter personal, en el que en un claro retorno al pasado utiliza el concepto de fichero, además de reducir los derechos de los afectados a los antiguos derechos ARCO:

1. De conformidad con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la información y datos de carácter personal que reciba en su caso el Ministerio de Industria, Comercio y Turismo por parte de cualquier solicitante, beneficiario o interesado, en general, también tendrá carácter confidencial, y serán recogidos por el mismo para ser incorporados, respectivamente, a los ficheros automatizados titularidad y responsabilidad del mismo, con la finalidad de verificar el cumplimiento, control y seguimiento de las obligaciones establecidas por el presente real decreto-ley. Los interesados podrán ejercer personalmente sus derechos de acceso, rectificación, cancelación u oposición mediante escrito.

Una vez terminemos de consensuar y ordenemos estos debates sobre el consentimiento, los nuevos criterios legales y el tratamiento de datos, el Real Decreto Ley nos ofrece otro tema de debate, relativo a la normativa vigente en administración electrónica. Según su artículo 44.2 dedicado a la Gestión del sistema de ayudas, se indica que:

2. La gestión de las ayudas se realizará a través de un sistema electrónico de gestión y con las garantías exigidas en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y la restante normativa reguladora de la Administración electrónica.

¿Error involuntario? Es posible, pero dichas remisiones a esa normativa moribunda se vuelves a repetir en el artículo 4 del Anexo II , en sus apartados 5 y 6. Cabría interpretar que como el Real Decreto 1671/2009 sigue -en parte- en vigor la remisión a este lleve al otro, pero dicho salto interpretativo me parece excesivo por encontrarse en vigor la Ley 11/2007 únicamente en aquellos aspectos que no contradigan ni la ley 39/2015 ni la Ley 40/2015 ,ni los aspectos tecnológicos de la vacatio legis.

Ciertamente es una materia para no aburrirnos, pero de vez en cuando sería aconsejable ir cerrando capítulos, simplemente por limpieza y así poder centrarnos en otros debates en la materia igualmente novedosos y sustanciosos.

La interoperabilidad y su concreción

En estas semanas he recibido varias consultas relativas a la supuesta obligatoriedad de la interoperabilidad en el ámbito de la Administración y me ha causado cierta perplejidad. Tenía la impresión de que el propio término había sido ya aceptado en nuestro acerbo jurídico, instaurado en la Ley 11/2007, concretado en el RD 4/2010 y confirmado en la Ley 40/2015. Pero hete aquí que un concepto tan aparentemente consolidado genera suspicacias sobre su obligatoriedad. No es menos cierto que las disposiciones finales de la Ley 39/2015 y 40/2015 no ayudan, dado que mantienen ese período de inaplicación sobre determinados aspectos tecnológicos referidos al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico, pero no es menos cierto que en dicha lista no se nombra la interoperabilidad.

Entonces ¿de dónde proviene esa resistencia? En mi opinión de dos frentes: en primer lugar, de ese período de inaplicación de los elementos tecnológicos indicados, en el que difícilmente se entiende una correcta interoperabilidad que no venga acompañada de un registro electrónico o un archivo electrónico y en segundo lugar, en que la interoperabilidad -aun siendo obligatoria por el artículo 156 de la Ley 40/2015-, no tiene una aplicación practica concreta y obligatoria. Este segundo aspecto posiblemente sea el más complejo de concertar, dado que su implementación se sustenta en la voluntad de las partes implicadas, léase administraciones responsables. Esto significa que no existe un canal legalmente obligatorio para trasmitir un dato desde un Ayuntamiento de Murcia a uno de Bizkaia, lo que existen son obligaciones normativas que indican cómo y qué aspectos debe cumplir dicha transmisión.

Esta situación la considero preocupante, dado que tal y como he indicado en numerosas ocasiones, el modelo se construye mediante un sistema paccionado en el que es muy importante la voluntad de todos los intervinientes para generar un modelo de interoperabilidad en el que todos se encuentren cómodos, debiendo transmitirse el mensaje claro al conjunto de las Administraciones sobre su obligatoriedad desde el convencimiento de las bondades de los sistemas de intercomunicación existentes, aunque sea por una cuestión de eficacia financiera.

Protección de datos en el Real Decreto-ley 21/2020

Supongo que, como la mayoría de los operadores jurídicos, durante esta pandemia nos hemos levantado cada mañana releyendo el BOE para reorganizar nuestro conocimiento sobre la legalidad de la actividad humana en esta peculiar situación. Ciertamente los hechos han obligado a una premura normativa que nunca ha sido compatible con la construcción de una sólida arquitectura jurídica que sustente nuestra concepción legal de una forma bien estructurada, evitando las redundancias, contradicciones, vacíos, lagunas e indefiniciones, dado que si las mismas se producen los juristas nos quedamos sin brújula y la ciudadanía sin rumbo.

Centrándome exclusivamente en lo relativo a protección de datos personales, contenido en el artículo 27 del Real Decreto Ley 21/2020, debo mostrar cierta contrariedad por la redacción del mismo. Si el lector es profano en protección de datos el texto parece ofrecer la solemnidad necesaria para regular una materia tan delicada como la que nos ocupa, pero si conoce un poco las reglas de nuestro “deporte” su lectura le dejará la sensación de haber caído en la casilla de la calavera del juego de la oca: vuelva al punto de partida.

De una forma menos prosaica el texto expone cuatro ideas, extraídas en orden del propio artículo:

1. El tratamiento de la información de carácter personal que se realice como consecuencia del desarrollo y aplicación del presente real decreto-ley se hará conforme a la normativa de protección de datos. !Gran novedad! Este Real Decreto Ley no ha derogado un Reglamento Europeo, pero además dichos tratamientos se fundamentan en lo establecido en materia epidemiológica y sanitaria de la LGS: Es decir, está regulando la actividad de la hostelería, transporte, servicios docentes, sociales, culturales, recreativos, competitivos… y ¿los únicos competetentes para el tratamiento son los Servicios Públicos de Salud?

2.- El tratamiento viene determinado por la finalidad de seguimiento y vigilancia epidemiológica, es decir ¿las entidades que no sean la entidad sanitaria no pueden tratar los datos de sus empleados, trabajadores o subcontratados como ha indicado la AEPD en prevención de Riesgos?

3.- Respondiendo a las anteriores preguntas, parece que no hay más responsable que las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad. Estos datos no pueden ser tratados por las Entidades Locales, Diputaciones u otros entes públicos o privados, dado que si lo hiciesen no lo podrían hacerlo a título de Responsable del Tratamiento.

4.- Por último, se permite el intercambio de datos con otros países, por existir habilitación normativa, hecho que de existir no hace falta elevarlo o refrendarlo por una ley, dado que de esta forma no se sabe si la base jurídica se encuentra en este Real Decreto Ley o en la Normativa internacional.

En resumen, que nos vuelven a poner más difícil la comprensión metodológica de protección de datos ya que nadie que no sea la autoridad indicada en el punto 3 puede tratar los datos del COVID, con lo que la dinámica en la que las autoridades de control habían entrado de dejar tratar dichos datos con condiciones parece que se han desvanecido o mejor dicho, tal y como indicábamos al principio, nos queda vivir unos meses desaprensivos en los que los hechos y las interpretaciones autorizadas deberán poner en su sitio al derecho.

Covid-19, la Ley 39/2015, el RDL 14/2019 y el Consejo de Empadronamiento

La situación anómala que genera el Covid-19 nos altera e inquieta pero de forma paralela nos muestra el auténtico estado de conocimiento de la ciudadanía y de algunas Instituciones, concretamente en lo referido a la Administración Electrónica. En este caso me refiero a la  Nota de la Comisión Permanente del Consejo de Empadronamiento de 31 de marzo de 2020, que de forma resumida plantea el problema que estamos viviendo en tres elementos clave:

Primero.- Por el estado de alarma existe una imposibilidad de desplazamiento de los ciudadanos a sus Ayuntamientos para solicitar sus Certificados de empadronamiento.

Segundo.- Que los ciudadanos no disponen de sistemas de identificación y firma electrónica.

Tercero.- Que estos últimos remiten un correo electrónico a los Entes Locales para obtenerlo.

Con estas premisas todo conocedor de la Ley 39/2015, de la Ley de firma Electrónica o de la Resolución de 2015 del INE sabe que los sistemas de identificación y firma son los que el legislador indicó, siempre con especial hincapié en la correcta identificación de las personas por los posibles riesgos existentes en la confidencialidad de la información y, concretamente, en la normativa de protección de datos. Todo ello, sin entrar en muchas profundidades con la reciente modificación ultra-restrictiva del los artículos 9 y 10  de la Ley 39/2015 mediante el Real Decreto-ley 14/2019 (os recomiendo releer ese RDL, por si no lo tenéis fresco), protegiendo los sistemas de identificación y firma en las más altas cotas de seguridad del Estado, e igualmente, sin realizar el mínimo atisbo sobre el ENI o el ENS.

Conocedores de estos antecedentes normativos, todos esperaríamos que el Consejo hubiese fomentado e incluso requerido a las Instituciones del Estado con el fin de conseguir -mediante la aplicación del artículo 9.2 de la Ley 39/2015-  un sistema de claves concertadas menos riguroso que cl@ve, o similar, abriendo alguna vía interpretativa o al menos, haber obtenido una autorización general por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública para un sistema menos riguroso de identificación.

Muy a mi pesar la solución ofrecida dista enormemente de cualquier sofisticado sistema que conjugue leyes y tecnología. La solución consiste en (copio en literal):

-Copia cifrada de un documento acreditativo de su identidad , para lo que bastaría con comprimirla con una contraseña robusta que luego  se enviará en un correo aparte.
– Si el certificado que se solicita es colectivo se deberán enviar por el mismo sistema copias de los documentos acreditativos de la identidad de todos los empadronados en el domicilio. Para los menores de edad se deberá aportar copia del certificado de nacimiento o del libro de familia.
– Escrito firmado por el solicitante indicando una serie de datos como, por ejemplo, el nombre y apellidos, dirección de empadronamiento en el municipio, el nombre y apellidos de los demás empadronados en el domicilio para certificados colectivos, dirección del correo electrónico, motivo de la solicitud, teléfono de contacto ; con el objetivo de aumentar las garantías en la comprobación de su identidad y de no facilitarle en el certificado información que él no haya dado previamente.
– En el caso de certificados colectivos, un escrito firmado por todas las personas mayores de edad empadronadas en el domicilio autorizando al solicitante del certificado.

Una vez confirmada la identidad, el Ayuntamiento podría remitir por correo electrónico el certificado de empadronamiento también en un documento cifrado, cuya contraseña se enviará en un correo aparte.

No puedo evitar realizar un par de comentarios:

Primero.- Parece que cifrar la información  -independientemente del sistema de cifrado que se aplicase  que da para otro hilo de conversación- garantiza la identidad de las personas, no distinguiendo entre identificación y confidencialidad . La distinción es clara dado que el hecho de crear una cuenta electrónica denominada antxon234fd@xx.com no me convierte en Antxon, siendo indiferente -a efectos de identificación- que la información vaya o no cifrada. Con todo esto no he descubierto nada que ninguno de los lectores no sepa.

Segundo.- Parece que el Estado de Alarma -en algún artículo que se me escapa- ha suspendido la aplicación del Real Decreto-ley 14/2019, al menos, en las partes de identificación y firma.

En  fin, seguimos manteniendo un sistema jurídico muy regulado pero que se aplica de una forma curiosa dependiendo de las circunstancias. Menos mal que todo volverá a su estado natural el día que se acabe el Estado de Alarma y estas anomalías desaparecerán tal y como vinieron.

Covid-19 y entrada en vigor de la E-Administración

Dado que en este tiempo de confinamiento estamos más dados a la reflexión, somos más conscientes del tiempo y de los plazos, la mente construye escenarios en el que el 2 de octubre del 2020 se sigue dibujando como la fecha tope para que todo el Sector Público implante la Administración Electrónica. Si a este objetivo ya de por si difícilmente alcanzable le unimos la situación que estamos viviendo ofrece un escenario en el que sólo pudiera salvarse mediante una nueva prorroga de los plazos tal y como ocurrió un mes antes de la anterior moratoria mediante el Real Decreto-ley 11/2018, de 31 de agosto.

Podría pensarse que la Disposición Adicional Tercera Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma pudiera ser la palanca por la que se alteraran o se suspendieran los plazos de entrada en vigor de la E-administración (como acertadamente ha precisado la abogacía del Estado diferenciado suspensión de interrupción), pero sería una interpretación muy forzada ya que la Disposición se refiere exclusivamente a los procedimientos administrativos no a las obligaciones que la norma ha impuesto a las administraciones. Y tampoco la Disposición Adicional Cuarta del mismo texto, por la que se suspenden los derechos y las acciones tiene la misma naturaleza que la obligación de cumplimiento de la administración electrónica.

Por lo que, viendo el estado de situación y de la tecnología, sería más que recomendable que el Gobierno incluyese alguna línea repensando el plazo de implantación de esta entelequia compleja y necesaria, dando tranquilidad a los equipos de trabajo, sobre todo por no haberse aprobado la batería de normas que desarrollan y dan sentido a esta realidad.

El Esquema de Certificación de la AEPD impide ejercitar los derechos RGPD

Reconozco que hay supuestos que no dejan de sorprenderme por las interpretaciones peculiares que  realiza a veces la AEPD, apurando y estrujando las bases jurídicas de tratamiento dependiendo de circunstancias poco clarificadoras.

Mi compañero Gontzal, leyendo los documentos de primera hora y que se nos acumulan, ha tenido el mérito de encontrar esta frase que nos ha inquietado.  La AEPD, mediante una Resolución de 10 de enero de 2020, aprobó la modificación del Esquema de Certificación de Delegados de Protección de datos, dentro de la cual se incluye un apartado 7.5 (pg 15) “método de evaluación” el que se afirma que  “no está permitido facilitar o mostrar los exámenes a los candidatos que lo soliciten“.

Es decir, todos aquellos solicitantes al examen de certificación que hayan realizado el mismo y quieran revisarlo, no pueden acceder a su contenido por estar prohibido desde el propio órgano de Certificación.  Ciertamente, me deja asombrado que el órgano que vela por la existencia de este derecho sea el que cercena el derecho recogido desde hace 30 años en la legislación, interpretando de forma ultra restrictiva la obtención de copias del artículo 15 del RGPD, no indicando cuál es el límite legislativo que le impide su exposición -de los contemplados en el artículo 23 de la misma norma-, y sea uno de los promotores de un límite del artículo 105 b) de la Constitución, del Convenio del Consejo de Europa sobre el Acceso a los Documentos Públicos (no ratificado), o las STS como las de 14 de noviembre de 2000 o 30 de marzo de 1.999.

La AEPD no puede promocionar la limitación de los derechos de protección de datos sin base ni fundamento, y no sería coherente ni propio de dicho órgano fundamentarlo en la Ley de Secretos empresariales. ¿Se imaginan que en los procesos selectivos, concursos, exámenes de universidad, colegios o cursos académicos aplicásemos dicho criterio? ¿De verdad nos creemos la esencia y filosofía que subyace en protección de datos o es mero postureo?