Todas las entradas por Jesús Soler

Acerca de Jesús Soler

Abogado especializado en Administración Electrónica

La obligación de los abogados de tramitar electrónicamente ante la Administración

Los compañeros de profesión más mayores recordarán la “revolución” que supuso dentro de la tramitación administrativa la aprobación de la Ley de Procedimiento Administrativo de 1958, en el que en una de sus modificaciones dejaba que los trámites pudiesen llevarse a cabo sin la representación y asistencia letrada. Los compañeros perdíamos un monopolio en la tramitación administrativa y los ciudadanos ganaban libertad en cuanto que ellos  se convertían en sujetos con capacidad suficiente como para tratar sus asuntos directamente con la Administración sin verse supeditados a ningún tipo de tutelaje. Según rescato de las crónicas y doctrina,  el debate -para los estándares de la época- fue bronco, con posiciones encontradas, ya que desde dentro nos limitábamos las posibles salidas profesionales  y la Administración podía encontrarse con una mayor cantidad de documentos incorrectamente planteados, redactados y dirigidos, generando un mayor quebranto en la gestión de los procedimientos.

Desde entonces llevamos funcionando como todos conocemos, no habiendo significado  que los abogados hayamos desaparecido  ni  hayamos dejado de ayudar en la tramitación de los procedimientos administrativos de los ciudadanos, pero sí que, con el afán de reducirle los costes al cliente hemos optado -de manera significativa- a asesorar, redactar, orientar e incluso presentar y gestionar sus escritos, pero siempre bajo el propio nombre del cliente y como mucho, modificando el lugar de notificaciones, dirigiéndolo al despacho profesional con el fin de conseguirle una gestión completa sin someterle al gasto de unos poderes notariales. Ciertamente, el gasto de un poder notarial no es grande y evita muchos problemas, pero al contrario de lo que los medios de comunicación desdibujan de la profesión, nuestros clientes nos hacen ser muy mirados con los temas pecuniarios, reduciendo en todo lo posible cualquier gasto superfluo o simplemente reducible. Claro está que podemos aplicar otra solución, consistente en acercarse por la ventanilla de la Administración y realizar un poder Apud acta, pero al igual que la solución anterior, supone un gasto en tiempo, dado que los horarios de la Administración no siempre han sido coincidentes con los del cliente.

Con esta dinámica hemos convivido los compañeros durante muchos años, formando parte de este entramado procedimental asumido por todos, hasta la entrada en vigor de la Administración electrónica o lo que es lo mismo de la Ley 39/2015 y de la Ley 40/2015. Si bien se está realizando un gran esfuerzo en dar a conocer cómo la tramitación de los procedimientos judiciales se realizarán conforme a medios electrónicos, personalmente no encuentro el mismo énfasis en recordar cómo la misma obligación se extiende al mundo administrativo. Y ciertamente la obligación es clara, manifestándolo el artículo 14.2 de la Ley 39/2015 que indica que “en todo caso, estarán obligados a relacionarse a través de medios electrónicos con las Administraciones Públicas para la realización de cualquier trámite de un procedimiento administrativo, al menos, los siguientes sujetos:          […] c) Quienes ejerzan una actividad profesional para la que se requiera colegiación obligatoria, para los trámites y actuaciones que realicen con las Administraciones Públicas en ejercicio de dicha actividad profesional. En todo caso, dentro de este colectivo se entenderán incluidos los notarios y registradores de la propiedad y mercantiles.”

Es una obligación clara y definida, que señala directamente al colectivo de los letrados, siendo especialmente significativo como el medio electrónico distorsiona la habitual manera de actuar antes descrita, dado que salvo que se acredite la representación, las notificaciones electrónicas se dirigirán al propio interesado. Por otra parte, no veo este cambio normativo como un problema, dado que al facilitar la actuación mediante la formulación de los Apud acta electrónicos nos permitirá volver a un primer plano procedimental, dejando de estar escondidos por un problema de coste, pudiendo gestionar mejor, en tiempo y forma, los procedimientos de nuestros clientes al poder disponer de la información y de las notificaciones con la inmediatez necesaria para tomar decisiones.

Ahora sólo falta que los compañeros nos demos por enterados, cojamos el guante que nos ofrece la legislación, las plataformas de la Administración contemplen adecuadamente esta nueva situaciones y empujemos todos en la misma dirección. ¿Plazo de inicio? Los más tardones tendrán hasta el 2 de octubre del año 2020, pero hay Administraciones en las que ya podemos practicar esta nueva forma de relacionarnos.

Anuncios

El Controvertido consentimiento del art. 28.2 de la Ley 39/2015 (II)

Con la modificación de la redacción del artículo 28.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas parece obligatorio realizar algún comentario relativo al mismo, sobre todo para completar un post anterior que se ocupaba de la misma materia.

La modificación se ha materializado a través de la disposición final 12 de la Ley Orgánica 3/2018, de 5 de diciembre, y aunque se encuentra algo camuflada, tampoco puede decirse que haya sorprendido a la doctrina, dado que era una modificación que por su relación con la materia de protección de datos se conocía el trasfondo del debate, provocado por el choque entre dicha materia y la normativa administrativa. Al contrario que la redacción anterior con el fin de superar el conflicto, la nueva redacción obvia cualquier mención al consentimiento del interesado, indicando que los mismos “tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección“.

Desgranando el artículo, y siguiendo mi propia lógica, su aplicación práctica conllevará que en los diferentes trámites administrativos, la Administración podrá ofrecer la posibilidad al interesado de no presentar documentos de una lista de posibles. El interesado, si no manifiesta lo contrario, recibirá dentro de su tramitación dicha documentación. Su inacción supondrá una no oposición y por tanto, su derecho será completado. En este aspecto me surgen dos dudas:  el término “podrá” asociado a la Administración actuante y el alcance de su oposición. En cuanto a este “podrá”  lo entiendo como una habilitación no como una potestad, dado que si fuera lo segundo el derecho del interesado -reconocido en el artículo 53.1.c) y d) de la Ley 39/2015 a no presentar documentación- se encontraría vacío de contenido. En cuanto al alcance de la oposición, no plantea inicialmente mayor problema, ya que este derecho tiene un buen encaje conforme al artículo  21.1 del RGPD que lo relaciona con la base jurídica del 6.1.e) del mismo RGPD, aun cuando deja fuera aquellos tratamientos de la Administración que pudieran estar fundamentados en una obligación legal del artículo 6.1.c).

Pero si bien el consentimiento  ha supuesto con el RGPD una revolución en cuanto a su expresión, respecto a la oposición ni el RGPD ni la doctrina han sido tan estrictos en cuento a la forma y alcance de su manifestación y formalización. Si exigiésemos las mismas formalidades a la oposición y al consentimiento pudieran confundirse ambos, llegando al absurdo que la oposición sería una retirada del consentimiento, siendo imposible dado que el fundamento o la base jurídica no se encuentra en haber otorgado previamente dicho consentimiento. Dicho lo anterior, cabe reflexionar sobre cuál deberá ser la formalidad para ejercitar correctamente dicha oposición: ¿podrá ejercitarse la oposición sobre todos los documentos o podrá ejercitarse individualmente? ¿deberá la oposición exponer algún tipo de motivo para su ejercicio?¿podrá posteriormente desdecirse el interesado de dicha oposición mediante un acto de disposición?

Lo dicho, la situación del nuevo artículo 28.2 ya no se fundamenta en el consentimiento si no en la inexistencia de oposición, cambiando el patrón de funcionamiento de las Administraciones en la gestión de los trámites administrativos.

El Secreto empresarial es secreto

Recientemente se ha publicado en BOE la esperada Ley de Secretos empresariales, que regula un resbaladizo objeto que en las modernas sociedades genera un gran valor social, pero flaqueando en cuanto al alcance del mismo. Y ciertamente por deformación profesional, es el tema que más interés me suscita, dado que el objeto protegido no es más que un tipo especial de información cuya definición puede provocar tantas certezas como dudas, dependiendo de los supuestos que a cada individuo le ronden en sus pensamientos. El artículo 1, al igual que la exposición de motivos, trata de explicar lo inexplicable, y que si bien no es el legislador el culpable de esta pobre definición sí que a partir de ahora se convierte en cooperador necesario e imprescindible de la indefinición.

Se define el objeto de esta norma -el secreto empresarial- (EMotivos) “como aquella información que sea secreta en el sentido de no ser, en su conjunto o en la configuración y reunión precisas de sus componentes, generalmente conocida por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información en cuestión, ni fácilmente accesible para estas; tenga un valor comercial por su carácter secreto, y haya sido objeto de medidas razonables, en las circunstancias del caso, para mantenerla secreta, tomadas por la persona que legítimamente ejerza su control. Por consiguiente, esta definición de secreto empresarial no abarca la información de escasa importancia, como tampoco la experiencia y las competencias adquiridas por los trabajadores durante el normal transcurso de su carrera profesional ni la información que es de conocimiento general o fácilmente accesible en los círculos en que normalmente se utilice el tipo de información en cuestión”. No vamos a profundizar en exceso que el uso y abuso del término secreto tanto en el objeto a definir como en el definido no aporta una gran técnica normativa, encontrándonos, como en tantos otros supuestos del derecho, ante un objeto que al analizarlo desde la práctica no sabemos con certeza si el mismo es secreto o no, siendo dudoso que diferentes personas ante una misma información sean capaces de determinar si dicho dato se encuentra entre los denominados como secretos.

La única forma de conocer si un dato es secreto es someterlo a un Análisis o un Test, en el que después de superar diferentes cuestiones sobre su naturaleza, ámbito, utilización y acceso, pueda obtenerse un rango que será más o menos debatible sobre su grado de confidencialidad. Seguramente se me rebatirá que no es un concepto novedoso, que ya tiene una doctrina y jurisprudencia en su haber, pero no es menos cierto que una norma cuando crea innova, y debería haberse aprovechado este foro para re-definir. Una de las opciones, podría haber sido la utilización de la técnica de la Ley de Secretos Oficiales , ya que la misma, para evitar tales diatribas establecía que el objeto secreto sería “la materia  declarada expresamente «clasificada»”. Tiene sentido que la Ley de secretos empresariales no realice dicha deriva, ya que podría dejar sin protección a datos o informaciones carentes formalmente de dicha denominación “clasificada”, y por otra parte, la obligación de un sello o signo relativo a su estatus haría más apetecible la misma a personas no menos escrupulosas por el mero hecho de tener incorporado una estampación que eleva el valor de su categoría. Ciertamente todas las soluciones son malas, pero no por eso podemos dejar de reflexionar sobre otra categoría jurídica que siendo regulada por norma nos vuelve a dejar en el limbo de lo excesivamente interpretable.

No creo que sea el único que haya destacado este defecto, ya que el Sector Público -sin sospecha de interés en este tipo de conflictos-, cuando tiene que proteger la confidencialidad de las ofertas presentadas en los procedimientos de Contratación, traslada la decisión de los límites de la información confidencial al propio licitador, al indicar en su artículo 133.1 que “no podrán divulgar la información facilitada por los empresarios que estos hayan designado como confidencial en el momento de presentar su oferta“.

En suma, el sector privado seguirá debatiendo sobre los límites de la información secreta, pero cuando nos acerquemos a los dominios del Sector Público tendremos que dejar nuestros debates y poner por escrito claramente lo que es secreto, con el fin de confirmar ante terceros que el secreto empresarial es secreto.

Análisis de Riesgo en Protección de datos: consideraciones sobre su enfoque.

Como una nueva tendencia, los Análisis de Riesgos están entrando entre nuestras obligaciones jurídicas en diversas disciplinas y desde diferentes vertientes. En mi experiencia en materia de protección de datos el análisis de riesgos se configura  como una obligación difusa, en la que aparentemente es más importante la forma que el contenido, dado que más allá de su necesaria aplicación no existe una sistemática respecto a su adopción. Esto plantea problemas desde la perspectiva metodológica y sancionadora, dado que el establecimiento de una obligación con tal rango de indefinición no permite conocer aprioristicamente:

  • Ni el método para realizar correctamente un análisis de riesgos
  • Ni la validez de sus resultados obtenidos
  • Ni si es sancionable su inexistencia/ su incorrecta ejecución o su metodología

Esta situación provoca que cualquier análisis pueda generar una sensación de rechazo o de vacuidad por no cubrir las expectativas generadas o por no responder a los grandes riesgos que corre un responsable en el tratamiento de los datos y que sólo se concreta cuando el riesgo se ha materializado, siendo más que dudoso que los supuestos analizados sean coincidentes con los fallos del sistema que provocan el riesgo. Esta situación no es más que una de las derivadas del novedoso principio “de la responsabilidad proactiva“, cuya máxima puede traducirse en un vulgar “tu sabrás lo que haces pero asumes las consecuencias“,  y que desde el punto de vista jurídico es un principio más que discutible aunque se encuentre en norma, que asumiremos y sufriremos, y que su análisis requerirá  de un post propio.

Una vez superado el correspondiente rechazo, necesario para alcanzar el nivel adecuado en toda reflexión, ofrezco una serie de consideraciones que espero sean compartidas y de interés. En primer lugar, debe tenerse en cuenta que el análisis de riesgos se circunscribe al objeto “derechos y libertades de los ciudadanos“. En diversos métodos he detectado que se opta por centrar el objeto del riesgo en la seguridad, pero la seguridad no es más que un mecanismo más, una derivada que puede ser una amenaza pero no es el objeto del análisis. El estudio es más complejo dado que los peligros que puedan sobrevolar sobre los derechos fundamentales -desde la perspectiva de protección de datos-, es un análisis sobre el que todavía no he leído ningún estudio riguroso. En este aspecto no hay nada mejor que volver al origen y uno de ellos puede ser la CARTA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA. En segundo lugar, debe plantearse un método, que siguiendo la mayoría de los sistemas, establecerá una serie de escenarios que valoran la probabilidad por el impacto. En aplicación de esta metodología tan abierta es más que discutible que:

A) Dos personas diferentes generen los mismos escenarios de riesgo incluso ante los mismos derechos y libertades fundamentales.

B) Que los resultado del análisis de dos personas diferentes sobre la probabilidad por el impacto sean similares, por depender de criterios absolutamente subjetivos.

Esta situación puede provocar la misma sensación de desazón que la descrita al aproximarse al Análisis, pero en este punto voy a tratar de ser posibilista: el objetivo del Análisis no es conocer la verdad, sino establecer un método que describa las sombras de dicha realidad. Es decir, no se describe detalladamente el objeto, simplemente se hacen descripciones de lo que deja entrever la propia realidad porque el objeto en si mismo no puede describirse. Si se me permite el símil, y con todo el respeto a la cosmología, el Análisis de Riesgos es algo parecido a observar los efectos de un agujero negro en el que el propio agujero no puede visualizarse, observando sólo los efectos que provoca en su entorno.

La autentica utilidad del análisis de riesgos consiste en enfrentar mentalmente al problema utilizando una sistemática contrastable y repetible. Es lo más cercano a los experimentos mentales basados en circunstancias reales o imaginarias, debiendo poder  evolucionar y mejorar a lo largo del tiempo.

Queda la última pregunta por resolver ¿son útiles los análisis de riegos? En este aspecto debemos ser cautos, remitiéndonos a los datos que nos ofrezca en el futuro las resoluciones de los órganos de control. Si logran evitar infracciones habrán cumplido su misión, si por el contrario se convierten en el recetario concentrado de frases ampulosas sin efectos procedimentales habremos perdido el tiempo, tanto el legislador por sus fantasías como los sufridores en nuestros experimentos mentales.

Os convoco en este mismo Blog a diez años vista para valorar los resultados.

 

La perdida del derecho de igualdad en la tramitación administrativa

Cuando los jóvenes proyectos de juristas comienzan sus estudios descubren -desde sus primeras aproximaciones- cómo el derecho se fundamenta en una estructura normativa, piramidal y jerarquizada, y que cuanto más se asciende o de mayor rango sea la norma que se analice más difusa será la redacción de la norma regulada. Es así, porque así debe ser, dado que los grandes axiomas jurídicos como la igualdad, la dignidad de la persona, sus derechos o la tutela judicial no pueden redactarse de forma tan concreta que no soporten el paso del tiempo por la constante adaptación de la actividad humana.

En nuestra materia de estudio referida a la e-administración, y sabiendo el legislador la brecha de conocimientos que se producía entre los colectivos denominados  “analfabetos digitales” frente a los “nativos digitales“, se elevó al grado de Principio General (ahí es nada!) el Principio de igualdad (artículo 4.b) LAECSP)que con gran boato manifestó que el mismo se aplicaría “con objeto de que en ningún caso el uso de medios electrónicos pueda implicar la existencia de restricciones o discriminaciones para los ciudadanos que se relacionen con las Administraciones Públicas por medios no electrónicos, tanto respecto al acceso a la prestación de servicios públicos como respecto a cualquier actuación o procedimiento administrativo sin perjuicio de las medidas dirigidas a incentivar la utilización de los medios electrónicos”. Es decir, se establecía de forma general que cualquier interpretación de la norma referida al ámbito electrónico entre diferentes supuestos que pudiera plantear la aplicación de la administración electrónica, la solución adoptada debería ser siempre la favorable a la no discriminación del colectivo de los “analfabetos digitales“, por ser un colectivo general, inclusivo de un gran espectro social o de especial protección. Piénsese en procedimientos de concurrencia competitiva, en los que pueden presentarse solicitudes en el ámbito electrónico 365×24 frente a los horarios restrictivos de las ventanillas físicas: ¿se produce desequilibrio? Por su puesto, y por ese motivo era necesario interpretar la norma y adoptar la solución menos restrictiva.

Pero eso es el pasado, … la Ley 39/2015, de forma notoria pero desapercibida ha hecho desaparecer dicho Principio. Esto no deja de hacernos reflexionar ¿los principios desaparecen o son inmanentes al sistema jurídico?¿El principio pacta sunt servanda puede desaparecer (artículo 1 del Cc)?¿Los principios recogidos en las normas no son más que la burda plasmación de los auténticos principios?

Ante tales preguntas que me abruman, y que me plantea un gran profesional en la materia (Martín Z.) sólo me quedan dos respuestas: a) Que el anterior no era realmente un Principio General, sería un principio menor, coyuntural, … un principio de los de rellenar texto. b) En la sociedad ya no existen o no son un colectivo relevante los “analfabetos digitales” y por tanto, no hay nada que proteger desde un Gran Principio.

Permítanme que desconfíe de ambas soluciones que me parecen igualmente nefastas desde la perspectiva jurídica y sociológica. Muchas veces las ansias por querer llegar  nos impiden ver todos los problemas del camino.

 

Nueva LOPD y GDD: 2 apuntes rápidos.

Ayer desayunamos con la publicación de la nueva LOPD  en el BOE, aspecto que me sorprendió dado que en los mentideros del sector se apostaba por su divulgación durante las fechas navideñas. Es bueno que nos hayan quitado pasar por ese mal trago en unas fechas tan señaladas, pero por contra nos han estropeado el puente pre-navideño. En un repaso  rápido, y dejando a otros post un análisis más pormenorizado de la legislación, pueden destacarse dos aspectos que se preveían desde el proyecto:

Primero, debe subrayarse el anclaje de la materia de protección de datos al artículo 18.4 de la Constitución tratando de zanjar un debate que los especialistas en derecho Constitucional deliberaban con tesón, buscando unos una Constitución abierta que permitiese generar desde el exterior nuevos derechos fundamentales o por el contrario, otros trataban de blindar el texto fundamental al impedir que desde fuera pudieran generarse nuevos derechos fundamentales. Queda claro que la nueva LOPD trata de cerrar el debate eligiendo la segunda opción, pero dejando en el aire un problema: el artículo 18.4 de la Constitución trata sobre la “limitación del uso de la informática” pero el RGPD y la nueva LOPD no sólo incorpora aspectos relativos a la tecnología, dado que su ámbito alcanza también a los tratamientos no automatizados, quedando una duda en el aire: ¿cómo es posible que el artículo 18.4 de la Constitución sea el fundamento de toda la legislación, de todo tratamiento y alcance a los tratamientos no automatizados? En mi opinión sigue siendo un cierre en falso a un problema subyacente que se mantiene.

Segundo, aunque se veía venir por su inclusión en  todos los textos previos, se regula en exceso tratamientos concretos hasta el punto que situaciones anteriores que se regulaban mediante infra-normas o incluso mediante simples informes jurídicos de los Órganos de Control (dígase video vigilancia, uso de gps o sistemas de información en denuncias internas) se incluyen ahora en un texto con rango de ley. Las leyes se dictan para aplicarse desde su generalidad e imponerse ante situaciones que restringen derechos o generan obligaciones. Si antes se obtenía el mismo resultado mediante una infra-norma y ahora se eleva hasta el mayor rango normativo, ¿cuál de los dos instrumentos jurídicos es excesivo o por contra, insuficiente? ¿Se han formalizado en ley supuestos que no deberían materializarse?

Por último y añadiendo un tercer comentario no previsto en el título, queda como tarea global conseguir el mayor consenso general que determine cómo denominamos el acrónimo de la nueva Ley. La LORTAD,  la LOPD o el actual RGPD consiguieron una aceptación generalizada, no requirieron de mayor explicación y su utilización ha sido común en los últimos años. Ciertamente, la evolución hasta el término LOPD se consiguió mediante una reducción desde unos primeros intentos (la LOPDCP, la LOPDP,….) cuya cantidad de consonantes hacía imposible una adecuada sonoridad. Como curiosidad, recuerdo que en el año 2.000 se la trataba de denominar  fonéticamente como la “López” dada la imposibilidad de  pronunciación.  Dado que hay que hacer propuestas arriesgadas propongo que la nueva norma se denomine la LOP3D, recogiendo las tres D que la hacen novedosa.

Real Decreto 1112/2018: accesibilidad en webs y app del Sector Público

Hace unas semanas se publicó en el BOE el Real Decreto 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público,  el cual ha pasado bastante desapercibido para el gran público, e incluso para sus destinatarios. La accesibilidad de los sistemas electrónicos no es un tema novedoso, ya que haciendo memoria  la Ley 56/2007 que modificaba la LSSI-CE incluía un párrafo en el que se instaba a las páginas de Internet de las Administraciones Públicas a cumplir, como mínimo, el nivel medio de los criterios de accesibilidad estableciendo como fecha de partida el 31 de diciembre de 2.008.

El derecho-obligación de cumplir con los estándares de accesibilidad de las webs de la Administración ha sido reconocido e impulsado paulatinamente desde diversas leyes, como por la Ley de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad, la Ley General de las personas con discapacidad y de su inclusión social o l aLey 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, entre otras, pero le faltaba el pegamento que aglutinase la obligación y al mismo tiempo, que la hiciese creíble, pues no hay nada más insípido que una obligación que no conlleva ninguna responsabilidad, ni limite temporal de cumplimiento.

En esa línea de imponer cierta seriedad en el cumplimiento de la accesibilidad de las webs de la Administración se encaja el Real Decreto 1112/2018 comentado, disponiendo de los tres elementos que considero básicos, para que realmente se impulse una acción:

  1. Describir unas Obligaciones, cuanto más concretas y detalladas mejor.
  2. Establecer unos hitos temporales, alcanzables y creíbles.
  3. Dotar de competencia a un órgano de super-visión o al menos, de coordinación.

Las obligaciones son claras y se resumen en:

  1. Crear una Unidad responsable de accesibilidad, en cada Administración.
  2. Revisar sus niveles de accesibilidad, conforme norma
  3. Redactar y Publicar su “Declaración de Accesibilidad
  4. Crear un espacio específico denominado Accesibilidad
  5. Crear un procedimiento de atención de quejas
  6. Crear un procedimiento de reclamaciones
  7. Implementar medidas de sensibilización y divulgación
  8. Auditar , al menos, anualmente sus niveles de accesibilidad
  9. Redacción de 3 informes anuales sobre accesibilidad.

¿Supondrá esto que las diferentes Administraciones cumplirán la accesibilidad? Posiblemente -es una apreciación personal- , al ser una normativa en la que concurren los tres requisitos básicos de imposición, dinamizará una conscripción voluntaria o forzosa, consiguiendo una sensibilización no alcanzada hasta la fecha. De todas formas, es bueno comprobar que el legislador sigue recordando cuáles son los resortes para motivar a los destinatarios siempre que quiera lograr cumplimientos, quedándole un último tramo motivador: establecer un régimen sancionador para los casos de incumplimiento.

¿Se aplica a mi empresa la nueva Ley de Ciberseguridad?

Recientemente se ha aprobado el Real Decreto-ley 12/2018, denominado “de seguridad de las redes y sistemas de información” y que popularmente se conoce como la Ley de Ciberseguridad, aún cuando el acrónimo sea LSRSI. Personalmente, nunca he sido partidario del incremento de la normativa, pero ésta -como otras muchas- viene impuesta por nuestra inclusión en el marco de la Unión y cualquier debate sobre su existencia es vacuo y sin recorrido.

Pero no deja de sorprender la facilidad que tenemos por aceptar sin rechistar cualquier norma que trate sobre la seguridad (lo comprobaremos en el debate parlamentario), dando por bueno que, con tal bondadosa finalidad su contenido no puede ser más que maravilloso. Evidentemente ese planteamiento siempre es corroborado por la mayoría silenciosa cuando las obligaciones que se imponen recaen en otros, pero ¿esta Ley a quién afecta, a otros o a mí?

Para aportar una luz a dicha pregunta, y siguiendo la lógica de la ley, vamos a desenmarañar sus complicadas vinculaciones. Comenzamos por su artículo 2, que nos indica que la misma se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Esta inclusión es clara y nos deja a todos tranquilos dado que si estás en la LPIC estarás incluido en un sector de relevancia: básicamente pensaremos que es justo que te obliguen y nos dará tranquilidad.

Pero más inquietos nos deja el apartado b) que indica que la ley también alcanza a:
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Esta redacción genera más incertidumbre: si tenemos una empresa de un tamaño medio con una web y realizamos comercio electrónico ¿nos incluyen en el concepto de mercado en línea? La empresa tiene muchas obligaciones para que nos impongan más, ¿verdad?

Para responder a la pregunta sobre el alcance de un servicio digital se nos remite al  artículo 3 e), que a su vez, nos envía directamente a otra Ley en su anexo apartado a), haciendo saltos entre Leyes que tienen objetos diferentes pero con un trasfondo  tecnológico algo común. Esta última norma define un servicio digital  como  un servicio de la sociedad de la información,  entendido como “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”.

Hasta aquí esos saltos normativos concatenan que la ley de ciberseguridad debe extender exponencialmente su alcance, dado que ¿cuántas empresas, personas, profesionales disponen de una web y prestan sus servicios (compraventas, servicios, información, chats, almacenaje,… el propio wordpress??) en internet bajo la LSSI-CE? Muchas, por no decir todas, dado que es la norma palanca que permite que internet no sea un espacio des-regularizado,  teniendo como objetivo ofrecer seguridad jurídica a los usuarios.

El matiz interpretativo radica en una “coma” que incluye el artículo comentado y que he pintado de naranja en el texto: “, “,que sean mercados en linea“: ¿esto significa que un servicio digital exclusivamente incluye los “mercados en línea,motores de búsqueda en línea y servicios de computación en nube, entendidos en el sentido de la LSSI? Bueno, pudiera ser una interpretación limitativa, pero aunque la aceptásemos el concepto de mercado en linea es tan amplio que en poco hubiésemos reducido el ámbito  subjetivo de aplicación. Al igual que antes, hay que volver a  realizar otra búsqueda dentro de la LSRSI para descubrir qué es un mercado en línea y poder delimitar, si es el caso, su alcance.

En esta búsqueda hallamos el artículo 3 q) de la LSRSI  que define el  Mercado en línea como aquel “servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea.”. Desde mi punto de vista, esta definición alcanza a toda web en la que se realice un contrato, añadiendo que  una definición que incluye el propio término definido no es una definición.

Ante la pregunta que nos formulabamos ¿estoy sometido a la LSRSI si desde mi web realizo cualquier tipo de contratación? En mi opinión, y salvo criterio fundado en contrario, la respuesta es afirmativa, salvo que se trate de “microempresas o pequeñas empresas” excluidas conforme al artículo 2.3.b) de la LSRSI. Es premonitorio que la exposición de motivos de la LSRSI indique  que “su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica.”

 

El horizonte temporal de la E-Administración

Que la Administración Electrónica ha venido para quedarse se convierte en una afirmación incontestable, dado que nuestro estilo de vida no puede imaginarse sin una relación intima con los medios tecnológicos. Pero más allá de esa aseveración, se plantean cuestiones relacionadas con el cuándo y el cómo. Hasta la fecha teníamos una respuesta más o menos acertada, contemplando como fecha y contenido del armagedon administrativo el día 2 de octubre de 2018. Su mera mención hacía temblar a cualquiera que conociese las consecuencias jurídicas que pueden derivarse de su entrada en vigor.

Hoy BOE, tal y como anunciaba Moncloa la semana pasada, ha aprobado el Real Decreto-ley 11/2018  en el que disimuladamente introduce en su Artículo sexto una modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, modificando la disposición final séptima de la misma respecto a la entrada en vigor:
La presente Ley entrará en vigor al año de su publicación en el “Boletín Oficial
del Estado”.
No obstante, las previsiones relativas al registro electrónico de apoderamientos,
registro electrónico, registro de empleados públicos habilitados, punto de acceso
general electrónico de la Administración y archivo único electrónico producirán
efectos a partir del día 2 de octubre de 2020

Retrasamos el armagedon y el respiro nos tranquiliza pero ¿sabemos realmente en que situación estamos tanto la ciudadanía como la Administración? En este aspecto debe repasarse con esmero los 5 elementos que todavía no son exigibles, pero ¿y el resto?¿cómo se aplica una administración electrónica a trozos?¿es exigible la notificación electrónica sin un registro electrónico?¿y la interoperabilidad sin un registro de apoderamientos?

Los avances son importantes, pero más si van acompañados de la correspondiente norma que paute la pertinente consecuencia jurídica. Seguiremos disfrutando durante estos dos años de prórroga de los apasionados debates jurídicos que puede generar esta situación.

La AEPD, la Competencia y el DPD

En los últimos meses con la vorágine de la entrada en vigor del RGPD se están sucediendo los análisis, comentarios y reflexiones de cómo se realizará su aplicación práctica y el papel que adoptarán los órganos de control. Esta expectativa se ha visto incrementada por la inexistente norma que distribuya la actividad jurídica en esta materia, y que suponemos que limará nuestra vigente LOPD convirtiéndola en una norma plenamente adecuada a las exigencias propias y foráneas. Entre los elementos largamente debatidos se encuentra la figura del Delegado de Protección de datos, piedra angular de la nueva regulación, en el que su designación y posterior comunicación y publicación otorgará más transparencia a un sistema basado en la actual comunicación de ficheros a los órganos de control.

En este complejo entramado, en constante evolución,  debe cuidarse de las fáciles presunciones lógicas,  dado que solventan problemas cortoplacistas pero que pueden desembocar en problemas mayores. En esta tesitura, agradezco a mi compañero de Blog y despacho –Gonzalo Alvarez – siempre atento a la actualidad,  la remisión a la noticia referente a que la AEPD ha publicado un sistema de notificación electrónica para comunicar la designación del DPD. Con carácter general esta noticia puede considerarse como positiva, dado que parece dar cumplimiento al artículo 37.7 del RGPG, pero más allá de esa primera impresión aparecen las primeras sombras que posiblemente se disiparán con las aclaraciones que realicen los órganos de control.

En primer lugar, la Agencia parece tener información privilegiada, intuición o está interpretando extensivamente sus funciones, dado que dentro de las mismas y de sus competencias, no recuerdo que se encuentre el hecho de recibir notificaciones sobre los nombramientos y designaciones de los DPD´s. Cierto es que tiene alguna competencia residual o genérica en protección de datos, que pudiera absorber ese vacío, pero su utilización me abre alguna dudas más: ¿La Agencia Vasca y la Autoridad Catalana tienen la misma función receptora de comunicaciones de DPD debiendo esperar las respectivas Administraciones Autonómicas a la adecuación de sus órganos de control o únicamente lo realizará la AEPD?¿Es una de las funciones exclusivas de la AEPD? ¿Esa comunicación incorporada en su sede electrónica tiene la consideración de trámite administrativo y por tanto, finalizará con una resolución? y por último, ¿se está comunicando una designación a un Registro Público Administrativo -regulado por Ley- en el que terceros interesados podrán acceder a dichos datos o es simplemente un inventario de DPD´s?

En estos tiempos procelosos de la protección de datos debemos actuar con cautela y al mismo tiempo ser aventurados, pero sin ser aventados. Creo que, aunque las funciones de la AEPD de recibir las comunicaciones de nombramientos de los DPD´s recaerán finalmente en ella por Ley, deberían evitarse prisas innecesarias que generan una sensación de improvisación más que de sosiego.