Todas las entradas por Jesús Soler

Acerca de Jesús Soler

Abogado especializado en Administración Electrónica

DECISIÓN DE EJECUCIÓN (UE) 2021/27 DE LA COMISIÓN: Biometría

Se ha publicado en DOCE el registro en la Comisión Europea de una curiosa solicitud relativa a una iniciativa ciudadana europea titulada «Iniciativa de la sociedad civil para la prohibición de las prácticas de vigilancia biométrica masiva». La solicitud la presentan dos ciudadanos que requieren a la Comisión que analice su petición y adopte un acto jurídico formal en el que limite esas prácticas realizadas con la biometría.

La biometría y la protección de datos se está convirtiendo en un espacio a explorar dado el cambio conceptual que se ha provocado desde la entrada en vigor del Reglamento de Protección de datos, aunque muchos manifiesten que ya se venía vislumbrando desde la publicación del Dictamen del Grupo del Artículo 29 WP193 https://www.aepd.es/sites/default/files/2019-12/wp193_es.pdf sobre la evolución de tecnologías biométricas.

El criterio de las autoridades de control ha ido adaptándose a las circunstancias del momento, pasando de una práctica indiferencia, fundamentada en la tecnología del momento (obtención de patrones y minucias) unido a unos pocos usos y finalidades identificativas, para llegar a una situación en la que la evolución técnica y normativa les ha desbordado como para ofrecer una teoría clara y precisa sobre su legitimación, seguridad y usos. Basta recordar el documento publicado por la AEPD denominado “14 equívocos…” en la que se ofrece una visión no muy positiva de la fiabilidad de la firma biométrica como sistema de identificación/autenticación, manifestando que “si tras el proceso de identificación la autenticación es solo biométrica, seguiría siendo un sistema débil“.

Por otra parte, el informe 010308/2019 de la AEPD hace una exposición bastante completa de los materiales teóricos (muy recomendable) para entender los criterios que se aplican a la biometría, y si me permiten, aun cuando es un gran documento de debate, con los criterios que describe puede llegarse a la conclusión que el gato está vivo o muerto al mismo tiempo.

Concluyendo, en este espacio de debate de la biometría se añade esta solicitud a la Comisión que puede evadirnos en una tarde de confinamiento. Debemos hacer un esfuerzo en encajar la biometría en nuestro mundo sin romper nada.

El tamaño máximo de MB admisible por un Registro electrónico Administrativo

Estas semanas se me ha planteado el interesante reto intelectual relativo a determinar cuál es el límite máximo en Megabites que está obligado a recibir un Registro electrónico General, o si se quiere un RE auxiliar, regulados en el artículo 16 de la Ley 39/2015. A primera vista parece un tema secundario pero su resolución conlleva diferentes problemas tanto para la ciudadanía como para la Administración responsable de la gestión y soporte de dicho Registro.

Considérese que la Administración electrónica ha dejado ya sus primeros balbuceos, empieza su crecimiento y su impulso nos ha venido dado por la pandemia que vivimos. Por otra parte, la ciudadanía y los compañeros letrados, estamos muy dados a presentar una documentación sobre-dimensionada para demostrar nuestras pretensiones, no renunciando fácilmente a nuestros archivos y documentos textuales a los que unimos otros multimedia, que configuran un volumen cada día de mayores MB. Es una tendencia natural, y pudiera decirse que incluso sana, pues supone la consolidación del uso electrónico de una forma equivalente a cómo se viene haciendo durante los últimos siglos en papel.

Esta situación no es neutra, dado que plantea una “carrera documental” interminable, entre el derecho que tengo a presentar ilimitadamente documentos y el deber de configurar los sistemas de la Administración a recibir. En términos tecnológicos podemos contemplarlo en el esfuerzo que debe mantener el Sector Público en incrementar constantemente los sistemas de recepción documental en sus REG para mantener el equilibrio sistema, con los costes organizativos y técnicos que supone, considerando además, que cualquier límite razonable actual en Megas, será indefinidamente superado razonablemente en unos meses o años.

Ante esta situación ¿Qué indica el derecho? En este caso, como en otros, la normativa deja un hueco a la auto-regulación dado que la Ley 39/2015 no contempla el problema ni la solución. Contrastando entre diferentes Sedes Electrónicas de la Administración, los límites de carga oscilan entre los 10 a 15 Mb por trámite, alguna Agencia admite 64 Mb, siendo clave el límite que ha establecido la Guía Funcional para Oficinas en materia de Registro- SIR publicado recientemente (noviembre 2020). En el mismo se indica expresamente:

Actualmente los límites establecidos para cada anotación registral son: 5 documentos anexos con un máximo de 10 MB cada uno, no pudiendo superar los 15 MB en conjunto. Se trabaja en ampliar dichos límites

El entrecomillado trascrito resume maravillosamente el estado de la ciencia actual. Nos limitamos en una cantidad de MB pero reconocemos que no es suficiente y seguimos en la brecha.

Ciertamente 15 MB no es una cantidad abrumadora de información pero si se produjese una suma considerable de usuarios con dicha cantidad de MB pudiera poner en aprietos un sistema de información; es un argumento consistente y práctico para la limitación. Por otra parte, dicho límite conculcaría el artículo 53.1.e) de la Ley 39/2015, que permite “aportar documentos en cualquier fase del procedimiento anterior al trámite de audiencia” sin que el artículo establezca límite alguno.

¿Cómo se soluciona? En la practica no se buscan complejas soluciones interpretativas sino que se habilitan otros canales para poder transmitir la información. Esta solución, que puede parecer salomónica, entraña diversos riesgos dado que no siempre los canales habilitados cuentan con reflejo en el REG, ni cumplen estrictamente con el ENS, habilitando un repositorio de información o correo electrónico, tal y como ha publicado la resolución 13/2020 de la AESF, aplicando determinadas medidas y controles excepcionales pero que no son los generales legalmente establecidos.

En conclusión, algo tan aparentemente intrascendente en lo jurídico como los MB pudiera tener consecuencias prácticas, ya que la constancia registral (sellado de tiempo, registro, inscripción y contenido) no es una actuación intrascendente en un expediente, ya que aporta trasparencia y seguridad a todas las personas interesadas respecto del perfecto cumplimiento del procedimiento.

El Real Decreto-ley 36/2020, la Agenda Digital 2025, el sector público y la Administración Electrónica

Terminó el año 2020 con el interesante Real Decreto-Ley 36/2020 que, sin entrar en el debate del uso y abuso de este tipo de instrumento jurídico para regular cuestiones que requieren de una mayor reflexión, se plantea como uno de los elementos que nos permitirá cumplir los objetivos de la agenda España Digital 2025, desde la perspectiva de la distribución de los fondos europeos. Esta vinculación me ha generado la curiosidad de comprobar si dentro del mismo Real Decreto Ley se han contemplado modificaciones o desarrollos normativos que nos aclaren y faciliten el despliegue de diferentes aspectos de la Administración electrónica que nos impiden avanzar hacia una tramitación telemática más armónica. Esta reflexión viene avalada por los últimos cambios sustanciales que nos trajo otro Real Decreto Ley , el 14/2019, y que no fueron especialmente libertadores en cuanto a las obligaciones impuestas.

Si se revisa la Agenda Digital en su apartado del sector público a partir de su página 36, se contemplan una serie de objetivos dentro del capítulo Transformación Digital del Sector Público que son ciertamente loables, y que muchos de nosotros aplaudiríamos siempre que la regulación nos permitiese, con solvencia y seguridad, embarcarnos en dicha dirección. Leo muchas voces tendentes al cambio, incluso interpretaciones forzadas basadas en la situación pandémica sustentadas en el artículo 3 del Código Civil, en el que se permitiría a las Administraciones Públicas realizar todo tipo de actuaciones sin cumplir las obligaciones de identificación, autenticación, sede electrónica, notificación electrónica, seguridad,… establecidas en la normativa, en virtud de una adaptación interpretativa a las actuales circunstancias. Ese criterio forzado no deja de sorprenderme cuando las normas están modificándose constantemente no existiendo una fosilización normativa que obligue a aplicar el artículo 3 del código civil, adaptando el contenido textual de los vigentes artículos de la Administración electrónica al sentir actual, considerando que el artículo reinterpretado ¡tiene 1 año de vida! La admisión de esa aplicación forzada del carácter interpretativo de las normas es sumamente peligroso por eliminar la seguridad jurídica además de relegar el papel del legislativo al de un mero espectador, en el que su voluntad queda relegada a un segundo plano, cuando la realidad nos indica que es un actor potente y relevante del impulso y actividad social.

Expuesta la anterior crítica -que el cuerpo me pedía- pueden analizarse los objetivos de la Agenda Digital 2025, compendiándolo al comienzo del Capítulo referido: “Tecnologías como la Inteligencia Artificial, el blockchain, o la explotación de la información a través del big data, nos dirigen hacia una Administración Pública “data-driven”, en la que la personalización de los servicios o conceptos de relación con la ciudadanía como Ciudadano 360º son clave“. Nos encontramos con un texto que en sus objetivos suscribo, pero que desde la perspectiva jurídica me es muy difícil dar soporte o cabida, al menos, en su generalidad. En el Sector Público la inteligencia Artificial supone un alto riesgo para los derechos y libertades de los ciudadanos, al menos, así lo reconoce el informe de recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas, debiendo ser muy cautelosos con su aplicación, delimitando muy bien dónde se encuentran sus límites. Respecto al blockchain, tal y como indicaba más arriba, la disposición adicional sexta de la Ley 39/2015 prohíbe ese tipo de tecnología para los sistemas de identificación y firma, que unido a la obligación de territorialidad del artículo 46.bis de la Ley 40/2015, hace que su uso se encuentre bastante limitado. Respecto a la utilización de los datos en formato big data, data driven y el ofrecimiento de un ciudadano 360º, sigo ofreciendo mi total apoyo a su consecución, dado que en mi opinión la ciudadanía lo agradecería, pero aquí el principal escollo se encuentra en la normativa de protección de datos, cuya aplicación requiere de un uso competencial concreto por cada Administración Pública, no existiendo en la actualidad ninguna que pueda arrogarse las competencias de las otras. Es decir, la publicación por parte de una Administración de las notificaciones recibidas por el resto requeriría, como mínimo, un nivel convenial no alcanzado en la actualidad, dado que, tal y como apuntaba la STC 55/2018, no está contemplado normativamente la creación de un Punto de Acceso General a todas las Administraciones (FJ10).

Dicho esto, también hay que mencionar la parte positiva, dado que dicha Agenda se acuerda de los jurídicos y en su apartado 23 relativo a la MEJORA DEL MARCO REGULATORIO DE LA ADMINISTRACIÓN DIGITAL, en el que recuerda que “el proyecto de Real Decreto por el que se desarrollan la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en materia de actuación y funcionamiento del sector público por medios electrónicos, reforzará el marco normativo definido por las citadas leyes“. Es un buen comienzo, pero nos hace falta concreción ya que, por ahora, sólo se regula la demora de la entrada en vigor de la administración electrónica mediante modificaciones de la Disposición Final 7ª de la Ley 39/2015.

En este punto es donde debemos recordar que los juristas no somos el impedimento de las aspiraciones colectivas pero no se nos puede solicitar que generemos una ilusión que no está regulada. Por este motivo, el Real Decreto 36/2020 puede ser el primer elemento que ayude a distribuir los fondos para conseguir esos objetivos pero no debe olvidarse desarrollar paralelamente la normativa que nos haga conseguir de forma ordenada y coordinada la ansiada trasformación digital del Sector Público.

Derogación de la Ley de Firma Electrónica del 2003

Desde la publicación y entrada en vigor del EIDAS (Reglamento (UE) n.º 910/2014) se vivía en una cierta incomodidad jurídica por convivir un Reglamento Europeo de aplicación inmediata con nuestra Ley de Firma electrónica. Tampoco debe entenderse como un drama que paralizase el tráfico jurídico en el ámbito electrónico pero sí es cierto que ambas normas no encajaban con la armonía que debieran. Aspectos como la regulación de la firma electrónica avanzada, los sellos electrónicos o los sistemas de firma de las personas jurídicas han sido aspectos sometidos al debate por encontrarse regulados de diferente forma en ambas normas.

En la anterior legislatura se trabajó con un proyecto de norma que derogaba la Ley 59/2003, (LFE) argumentando ese mismo dislate, pero durante este período de tiempo hemos sobrevivido con parches que no han hecho más que avivar el debate sobre si realmente era necesaria una nueva nueva norma -por la supuesta incompatibilidad de ambas- o si es que los lectores no teníamos la suficiente finura para leer entre líneas y encajarlas con soltura.

Es interesante recordar cómo la LFE desde el año 2014 hasta la actual derogación ha sufrido 6 modificaciones, que en mi modesta opinión, no pueden entenderse si realmente no se producían para realizar una interpretación más coherente con la norma jerárquicamente superior. Entre estas modificaciones, cabe recordar :

el art. 13, por Real Decreto-ley 28/2020, de 22 de septiembre.
el art. 13, por Real Decreto-ley 27/2020, de 4 de agosto.
el art. 15.1, por Real Decreto-ley 14/2019, de 31 de octubre .
el art. 3, por Ley 39/2015, de 1 de octubre ).
los arts. 3.2, 6.2, 7.2, 12.c), 18.a) y b), 20.1.e), 23.1.c) y d), el 29.5 por Ley 25/2015, de 28 de julio.
el art. 8.2, por Ley 9/2014, de 9 de mayo.

Esta catarata de modificaciones sin afrontar una modificación completa de la Ley de firma electrónica ha otorgado una cierta apariencia de coordinación entre el EIDAS y la LFE, no ofreciendo ese concepto tan abstracto y que parece tan difícil de conseguir, como es la Seguridad Jurídica.

De cualquier de las maneras, demos la bienvenida a la nueva Ley y deseémosle larga vida, para que seamos capaces de conocerla e interpretarla de la forma más homogénea posible.

Real Decreto-ley 28/2020 de trabajo a distancia: 5 apuntes.

Como estaba anunciado ha sido publicado hoy en el BOE el Real Decreto-ley 28/2020 que regula el trabajo a distancia, siendo una norma que transciende al ámbito puramente laboral por afectar diferentes aspectos tecnológicos. Mi primer comentario incide -como en ocasiones anteriores- al forzado uso recurrente de los Reales Decreto Ley, que si bien trata de excusarlo explicando en su expositivo VII la doctrina constitucional que lo sustenta, resuelve en una línea su aplicación al supuesto del trabajo a distancia: “la grave incidencia de la pandemia en el empleo y en la recuperación económica con altos grados de incertidumbre causados por los «rebrotes», la necesidad de procurar una ordenación segura, general y eficaz que evite mermas de derechos o situaciones de inseguridad“. En mi opinión, ese argumento es bastante pobre ya que sirve para aprobar tanto esta norma como la de recogida del tomate. En el fondo subyace un atajo en los tiempos, que luego puede tener consecuencias desagradables si previamente no está muy bien cocinado.

Dicho esto, y con todo el respeto a los aspectos laborales de los cuales no soy especialista, destaco los siguientes aspectos:

Protección de los datos de los trabajadores y de la intimidad: realmente se reconocen ambos derechos pero no se regula nada que no sea por todos conocidos en esta materia, con la salvedad de la no posibilidad de exigir la utilización de dispositivos propiedad de la persona trabajadora. No indica que no se puedan utilizar esos dispositivos propios, manifiesta que el empleador no puede exigir su uso. A partir de ahí se producirán los problemas entre el control y la gestión de herramientas propiedad del trabajador, tema de debate para todos aquellos que han analizado el BYOD y que sigue sin cerrarse.

La desconexión digital: otro gran derecho ya recogido en la LOPDGDD, que seguramente tendrá un gran futuro pero necesita de un sólido recorrido jurisprudencial del cual carece en la actualidad. Los hechos son tozudos y quien conoce la realidad del mundo interconectado laboral sabe que queda un gran debate de fondo.

Seguridad y protección de datos de los sistemas: desde otra perspectiva se menta los criterios de protección de datos, imponiendo a los usuarios finales políticas y medidas de seguridad sobre la información que traten, algo totalmente lógico.

Modificación de la Ley 59/2003: se modifica la ley de firma para admitir otra forma de acreditar la personalidad que no sea por el criterio general del artículo 13.1 de la misma norma: “la identificación de la persona física que solicite un certificado reconocido exigirá su personación ante los encargados de verificarla“. Esta afirmación tan estricta se mitigaba en el apartado 4 de la misma, pero ahora se añade un apartado 6 en el que se profundiza en la exploración de dicha vía no presencial.

Modificación de la Ley 39/2015: ¡La modificación que nos faltaba! Segundo intento de conseguir vía Real Decreto Ley que la entrada en vigor de la Ley 39/2015 se produzca el 2 de abril de 2021. Personalmente no se porqué no se aprovecha y se amplia ya hasta el 2022, parece que hay cierto pudor en reconocer el estado de la situación y sobre todo, la falta de desarrollos normativos (léase Reglamento y NTI´s) que articulan su correcto y coherente despliegue. Esperemos pacientemente a dicha fecha, que igual hace falta otro Real Decreto Ley que con urgencia nos indique que hay que posponer la entrada en vigor.

En resumen, una norma que si es finalmente ratificada puede ser un buen punto de partida para debatir aspectos laborales-tecnológicos.

E-Administración y su fecha: ¿volvemos a octubre de 2020?

Escribo otra vez, no sin cierta pesadez, con la temática relativa a la fecha en que entrará en vigor definitivamente la e-administración y que con tanta modificación normativa va dejando un cierto agotamiento y malestar por la sensación de desconocimiento del sector e improvisación constante. Haciendo un breve repaso recordaremos cómo la fecha inicial establecida por la Ley 39/2015 fue el 2 de octubre del año 2018, en el que el horizonte de 3 años desde la aprobación de la Ley parecía lejano y plausible, en una sensación de avance vertiginoso de las tecnologías sin parangón, desinflando dicha alegría el mero paso del tiempo y el control real de los avances. Ante esa nueva realidad tuvo que ampliarse deprisa y corriendo el plazo por el Decreto-ley 11/2018, estirándolo hasta 2 de octubre del año 2020. Pero hete aquí que más allá de la desastrosa pandemia que vivimos los plazos son los que son y tampoco llegamos a los objetivos tecnológicos-organizativos-operativos marcados, por tanto, todos sabíamos que debían extenderse los plazos, pudiendo haberse aprobado una norma con rango de ley que ampliase los plazos de ese 2 de octubre de 2020, incluyendo un plazo convincente, real y alcanzable por todos .

Pero no, la solución vino por esa norma publicada con el verano, un Real Decreto-ley 27/2020 dedicado a medidas financieras, de carácter extraordinario y urgente, aplicable a las entidades locales (que nada tiene que ver con la e-administración) y con una forma de norma de Real Decreto Ley, es decir que tal y como indica el art. 86 de la Const. esos instrumentos jurídicos deben utilizarse solo en “caso de extraordinaria y urgente necesidad“, estirándose los plazos, con cierta nocturnidad, hasta el 2 de abril de 2021. Circunstancias de la vida, el Congreso de los Diputados en su reciente sesión del 10 de septiembre ha derogado dicho Real Decreto Ley. Se puede pensar que SSª no están pensando en sus prioridades en que la no ratificación del mismo tendría estas consecuencias en la e-administración, pero la realidad es que a día de hoy no tenemos norma que sustente la extensión del plazo hasta el 2 de abril del 2021.

Ahora es cuando pueden realizarse las apuestas ¿Se aprobará una norma con rango de Ley que extienda los plazos? El 2 de octubre está a la vuelta de la esquina, pero no nos preocupemos que seguramente tendremos más post (este creo que es el cuarto…) para comentar cuándo realmente entrará total y definitivamente en vigor la e-administración.

Re-nuevo plazo de la e-administración

Qué mejor que agosto, una norma como un Real Decreto Ley en vez de una ley y qué mejor que introducir una Disposición Final sexta en un texto relativo a medidas financieras urgentes aplicables a las entidades locales, para que pase totalmente desapercibida una nueva moratoria en la aplicación de la administración electrónica. A estas alturas pocas cosas sorprenden, aunque tiene cierto tufo de nocturnidad este tipo de aprobaciones, debemos darnos por enterados y para conocimiento general saber que la Disposición Final Sexta del Real Decreto-ley 27/2020, dedicado a las medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales ha ampliado el periodo de in-aplicación de la e-administración hasta el día 2 de abril de 2021: ¿será la última? ¿se aprovechará para aprobar los desarrollos reglamentarios y las Normas técnicas que faltan?

La excusa del retraso se fundamenta en el COVID-19, -que sea dicho de paso ha sido uno de los grandes motores de la digitalización forzada de administraciones y particulares-, manifestando la exposición de motivos que “el riesgo manifiesto desde el punto de vista técnico-organizativo de no concluir a 2 de octubre de 2020 los procesos de adaptación, imposibilidad que puede afectar no solo al ejercicio de los derechos de los interesados sino a la interoperabilidad del funcionamiento de todas las administraciones públicas” ha sido el que ha llevado al nuevo aplazamiento.

Seamos positivos y pensemos que alcanzaremos la plenitud en un breve período, y sobre todo, que para el 2 de abril de 2021 los mas de once mil ochocientos sujetos obligados a implementar este sistema tecnológico serán plenamente interoperables.

Real Decreto-ley 25/2020: regreso al pasado

Estáis de suerte todos aquellos que os gustan los debates infinitos e inacabados sobre protección de datos en su relación con la administración electrónica, ya que el reciente Real Decreto-Ley 25/2020 aporta más leña sobre el consentimiento y la vigencia de la Ley 11/2007. Si disfrutas con esa dialéctica, este Real Decreto Ley es vuestro nuevo terreno de juego.

El artículo 23 comienza realmente bien, haciendo una remisión expresa a los criterios de tramitación y notificación de la Ley 39/2015, pero esa lucidez se va torciendo en el apartado 7 del mismo artículo. El mismo indica:

7. Los solicitantes no estarán obligados a presentar los documentos que ya obren en poder del órgano competente para la concesión, de conformidad con lo previsto por el artículo 28.3 y 53.1.d) de la Ley 39/2015, de 1 de octubre, debiéndose cumplimentar específicamente en el cuestionario de solicitud en qué momento y ante qué órgano administrativo presentó los citados documentos, para lo cual indicará el número del expediente que le fue comunicado en aquella ocasión, siempre y cuando no hayan transcurrido más de cinco años desde la finalización del procedimiento al que correspondan. En cumplimento de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de datos personales y garantía de los derechos digitales y del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), se solicitará el consentimiento expreso para el tratamiento por parte del Ministerio, de los datos incluidos en el cuestionario por el solicitante. En los supuestos de imposibilidad material de obtener el documento o cuando el interesado manifestará la negativa para la consulta de sus datos de carácter personal, el órgano competente requerirá al solicitante su presentación, o, en su defecto, la acreditación por otros medios de los requisitos a que se refiere el documento

Como bien sabéis, los órganos de control han emitido diferentes notas y dictámenes indicando que el tratamiento de datos por parte de la administración no se sustenta en la base legitimadora del artículo 6.1.a) del RGPD, si no -como pudiera ser en este caso- en una obligación legal o en el cumplimiento de una obligación de interés público. Por otra parte, vuelve a abrir el melón del derecho de oposición del artículo 28.2 de la Ley 39/2015, considerando que la Agencia Española había dictado unas “orientaciones” antes del comienzo del Estado de Alarma en el que consideraba que no debía ofrecerse ese derecho a los solicitantes:

Esta interpretación se traduce, en términos prácticos, en que, a la hora de recabar datos de los ciudadanos vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la administración actuante realizará el tratamiento en cumplimiento de una obligación legal, una misión de interés público o en el ejercicio de poderes públicos. La administración actuante deberá informar al administrado, en aplicación del principio de transparencia, sobre los datos que van a ser consultados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, facilitando información en relación a los cauces para hacerlo, pero sin ser necesario ni obligatorio la inclusión de una casilla o mecanismo que permita al interesado ejercer el derecho de oposición ad nutumde forma absoluta y sin justificación motivada. De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.
Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la administración actuante a la administración cedente de los datos responsable de estos.

¿Está revelándose AGE contra los planteamientos de la Autoridad de Control? o ¿es esta tramitación ese tipo de legislación específica que regula la necesidad de un consentimiento expreso? ¿Qué tendría de especial esta tramitación para solicitar este consentimiento expreso? ¿El consentimiento es un requisito imitable para los siguientes textos normativos?

Siguiendo con la protección de datos, tampoco tiene desperdicio el artículo 51, denominado Confidencialidad y protección de datos de carácter personal, en el que en un claro retorno al pasado utiliza el concepto de fichero, además de reducir los derechos de los afectados a los antiguos derechos ARCO:

1. De conformidad con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la información y datos de carácter personal que reciba en su caso el Ministerio de Industria, Comercio y Turismo por parte de cualquier solicitante, beneficiario o interesado, en general, también tendrá carácter confidencial, y serán recogidos por el mismo para ser incorporados, respectivamente, a los ficheros automatizados titularidad y responsabilidad del mismo, con la finalidad de verificar el cumplimiento, control y seguimiento de las obligaciones establecidas por el presente real decreto-ley. Los interesados podrán ejercer personalmente sus derechos de acceso, rectificación, cancelación u oposición mediante escrito.

Una vez terminemos de consensuar y ordenemos estos debates sobre el consentimiento, los nuevos criterios legales y el tratamiento de datos, el Real Decreto Ley nos ofrece otro tema de debate, relativo a la normativa vigente en administración electrónica. Según su artículo 44.2 dedicado a la Gestión del sistema de ayudas, se indica que:

2. La gestión de las ayudas se realizará a través de un sistema electrónico de gestión y con las garantías exigidas en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y la restante normativa reguladora de la Administración electrónica.

¿Error involuntario? Es posible, pero dichas remisiones a esa normativa moribunda se vuelves a repetir en el artículo 4 del Anexo II , en sus apartados 5 y 6. Cabría interpretar que como el Real Decreto 1671/2009 sigue -en parte- en vigor la remisión a este lleve al otro, pero dicho salto interpretativo me parece excesivo por encontrarse en vigor la Ley 11/2007 únicamente en aquellos aspectos que no contradigan ni la ley 39/2015 ni la Ley 40/2015 ,ni los aspectos tecnológicos de la vacatio legis.

Ciertamente es una materia para no aburrirnos, pero de vez en cuando sería aconsejable ir cerrando capítulos, simplemente por limpieza y así poder centrarnos en otros debates en la materia igualmente novedosos y sustanciosos.

La interoperabilidad y su concreción

En estas semanas he recibido varias consultas relativas a la supuesta obligatoriedad de la interoperabilidad en el ámbito de la Administración y me ha causado cierta perplejidad. Tenía la impresión de que el propio término había sido ya aceptado en nuestro acerbo jurídico, instaurado en la Ley 11/2007, concretado en el RD 4/2010 y confirmado en la Ley 40/2015. Pero hete aquí que un concepto tan aparentemente consolidado genera suspicacias sobre su obligatoriedad. No es menos cierto que las disposiciones finales de la Ley 39/2015 y 40/2015 no ayudan, dado que mantienen ese período de inaplicación sobre determinados aspectos tecnológicos referidos al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico, pero no es menos cierto que en dicha lista no se nombra la interoperabilidad.

Entonces ¿de dónde proviene esa resistencia? En mi opinión de dos frentes: en primer lugar, de ese período de inaplicación de los elementos tecnológicos indicados, en el que difícilmente se entiende una correcta interoperabilidad que no venga acompañada de un registro electrónico o un archivo electrónico y en segundo lugar, en que la interoperabilidad -aun siendo obligatoria por el artículo 156 de la Ley 40/2015-, no tiene una aplicación practica concreta y obligatoria. Este segundo aspecto posiblemente sea el más complejo de concertar, dado que su implementación se sustenta en la voluntad de las partes implicadas, léase administraciones responsables. Esto significa que no existe un canal legalmente obligatorio para trasmitir un dato desde un Ayuntamiento de Murcia a uno de Bizkaia, lo que existen son obligaciones normativas que indican cómo y qué aspectos debe cumplir dicha transmisión.

Esta situación la considero preocupante, dado que tal y como he indicado en numerosas ocasiones, el modelo se construye mediante un sistema paccionado en el que es muy importante la voluntad de todos los intervinientes para generar un modelo de interoperabilidad en el que todos se encuentren cómodos, debiendo transmitirse el mensaje claro al conjunto de las Administraciones sobre su obligatoriedad desde el convencimiento de las bondades de los sistemas de intercomunicación existentes, aunque sea por una cuestión de eficacia financiera.

Protección de datos en el Real Decreto-ley 21/2020

Supongo que, como la mayoría de los operadores jurídicos, durante esta pandemia nos hemos levantado cada mañana releyendo el BOE para reorganizar nuestro conocimiento sobre la legalidad de la actividad humana en esta peculiar situación. Ciertamente los hechos han obligado a una premura normativa que nunca ha sido compatible con la construcción de una sólida arquitectura jurídica que sustente nuestra concepción legal de una forma bien estructurada, evitando las redundancias, contradicciones, vacíos, lagunas e indefiniciones, dado que si las mismas se producen los juristas nos quedamos sin brújula y la ciudadanía sin rumbo.

Centrándome exclusivamente en lo relativo a protección de datos personales, contenido en el artículo 27 del Real Decreto Ley 21/2020, debo mostrar cierta contrariedad por la redacción del mismo. Si el lector es profano en protección de datos el texto parece ofrecer la solemnidad necesaria para regular una materia tan delicada como la que nos ocupa, pero si conoce un poco las reglas de nuestro “deporte” su lectura le dejará la sensación de haber caído en la casilla de la calavera del juego de la oca: vuelva al punto de partida.

De una forma menos prosaica el texto expone cuatro ideas, extraídas en orden del propio artículo:

1. El tratamiento de la información de carácter personal que se realice como consecuencia del desarrollo y aplicación del presente real decreto-ley se hará conforme a la normativa de protección de datos. !Gran novedad! Este Real Decreto Ley no ha derogado un Reglamento Europeo, pero además dichos tratamientos se fundamentan en lo establecido en materia epidemiológica y sanitaria de la LGS: Es decir, está regulando la actividad de la hostelería, transporte, servicios docentes, sociales, culturales, recreativos, competitivos… y ¿los únicos competetentes para el tratamiento son los Servicios Públicos de Salud?

2.- El tratamiento viene determinado por la finalidad de seguimiento y vigilancia epidemiológica, es decir ¿las entidades que no sean la entidad sanitaria no pueden tratar los datos de sus empleados, trabajadores o subcontratados como ha indicado la AEPD en prevención de Riesgos?

3.- Respondiendo a las anteriores preguntas, parece que no hay más responsable que las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad. Estos datos no pueden ser tratados por las Entidades Locales, Diputaciones u otros entes públicos o privados, dado que si lo hiciesen no lo podrían hacerlo a título de Responsable del Tratamiento.

4.- Por último, se permite el intercambio de datos con otros países, por existir habilitación normativa, hecho que de existir no hace falta elevarlo o refrendarlo por una ley, dado que de esta forma no se sabe si la base jurídica se encuentra en este Real Decreto Ley o en la Normativa internacional.

En resumen, que nos vuelven a poner más difícil la comprensión metodológica de protección de datos ya que nadie que no sea la autoridad indicada en el punto 3 puede tratar los datos del COVID, con lo que la dinámica en la que las autoridades de control habían entrado de dejar tratar dichos datos con condiciones parece que se han desvanecido o mejor dicho, tal y como indicábamos al principio, nos queda vivir unos meses desaprensivos en los que los hechos y las interpretaciones autorizadas deberán poner en su sitio al derecho.