Archivo de la categoría: Administración Electrónica

Competencia respecto al Esquema de Certificación AEPD-DPD

Ciertamente siempre he tenido en gran consideración y estima la doctrina emanada desde la AEPD, en la que la suma de sus resoluciones, informes y guías han confeccionado un entramado científico, en cuanto al orden, que nos ha ofrecido soluciones a los problemas que la normativa no era capaz de exponer con el detalle y rigor preciso en el caso concreto. Con el paso de los años esa doctrina ha ganado en valor y prestigio, dado que si se mantiene en el tiempo y es capaz de soportar los embates del cambio, destila una estructura sólida desde sus principios.

Esta introducción era necesaria, dado que la crítica posterior no puede partir del desapego, sino de tratar de comprender los extraños giros que aparentemente desmerece la sapientia construida certeramente y con tanto atino en los últimos años. Sin entrar en el contenido concreto del documento denominado ESQUEMA DE CERTIFICACIÓN DE DELEGADOS DE PROTECCIÓN DE DATOS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (ESQUEMA AEPD-DPD), que requerirá de otros artículos, me surge una duda previa respecto a la competencia ejercida -muy del gusto jurídico- , previa superación del susto que produce la advertencia que incluye dicho documento a lectores referente a la propiedad intelectual del mismo, así como a la reutilización del documento, olvidando los preceptos contenidos en la  Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, así como su Real Decreto de aplicación al ámbito estatal. Una vez dominado el pánico inicial, queda su advertencia más como una caricatura que cómo una auténtica advertencia.

Entrando en debate y analizando el documento como tal, no podemos obviar su análisis desde la perspectiva de la competencia. Es posible que con la entrada en vigor del Anteproyecto de Ley que adapta a nuestra legislación el Reglamento, las competencias y funciones de la AEPD se amplíen y adecuen a la nueva realidad, pero a fecha actual, no consigo encajar la acción de este esquema de certificación dentro de las competencias del artículo 37 de la LOPD ni del Estatuto de la AEPD. Posiblemente, dentro del cajón de sastre del 37.1.n pudiera -de alguna manera-encajarse el documento, pero hubiese aclarado enormemente la potestad que ejerce, dado que la creación de un esquema de este tipo, en el que advierte y permite a “la AEPD verificar[..] que se cumplen continuamente las obligaciones derivadas del reconocimiento y del uso de la Marca de Conformidad “, debiera disponer de un apartado que aclarase dicho aspecto.

Pudiera considerarse una cuestión menor, pero si se producen incumplimientos por las Entidades de Certificación, por los DPO, por cualquiera que utiliza dicho esquema ¿La AEPD está investida de los poderes competenciales-administrativos para  iniciar un procedimiento de revocación del uso de “su marca”? ¿Deberá acudir a la vía ordinaria para cumplir y hacer cumplir el adecuado uso de su esquema? A mi entender estos aspectos tienen gran trascendencia dado que no es lo mismo combatir a la AEPD en su terreno administrativo en el ámbito jurisdiccional, en el que no se encuentra protegido de sus prerrogativas administrativas. Tampoco hallo, igual por impericia, de un sustento en una instrucción, circular, norma o resolución, aún de rango inferior que publique un esquema de tal relevancia, en el que se sustentarán diferentes soluciones, actores y organizaciones y que servirá para solucionar uno de los problemas de más complejo encaje en nuestro sistema jurídico.

Quiero suponer que ya habrá sido analizado de forma pormenorizada, dado que no creo que la AEPD se haya dejado convencer por cantos de sirena, ya que uno de los principios del DPO es disponer de “conocimientos especializados del Derecho y la práctica en materia de protección de datos“.

Anuncios

El portal de internet en el Sector Público

Es una obviedad lo mucho que queda por debatir respecto al contenido de las novedosas leyes administrativas básicas, cuya implantación definitiva no se producirá hasta bien entrado el año 2018, pero no puedo resistirme a seguir compartiendo mis aportaciones al respecto. En este artículo analizaré, someramente, el interesante artículo 39 de la Ley 40/2015 que recoge una nueva figura: el portal de internet. Si eres un lector acostumbrado a leer materias relativas a las nuevas tecnologías reflexionaras sobre la poca trascendencia, enjundia y novedad  de una regulación que menciona  la presencia electrónica del Sector Público, y que tuvo su apogeo tecnológico hace una década, convirtiéndose , por tanto, este reflejo normativo del artículo 39 en una no-novedad.

Pero lo interesante de las normas es que la designación de una situación por una Ley le otorga carta de naturaleza jurídica a un hecho que hasta ese momento se desenvolvía en el ámbito de la ética o en limbo de lo incatalogable y eternamente debatible. Esta nueva realidad jurídica debe ser integrada con el presente, el pasado y el resto del ordenamiento jurídico.

Hagamos un breve excursus en esta materia: Con la entrada en vigor de la Ley 34/2002 se produjo un salto cualitativo al regular el mundo electrónico, y en concreto internet, aprobándose unas reglas relativas a la responsabilidad de contenidos, de uso, de copias , de publicidad, links y contratación cuyo obligado y depositario se denominaba genéricamente Prestador de la Sociedad de la información (PSI). Esta norma generó un importante debate, sobre todo por el alcance y las obligaciones que imponía, jugando con el criterio de la onerosidad, siendo el concepto llave que facultaba la inclusión o exclusión en dicha normativa. Como consecuencia de dicho criterio, si la actividad desarrollada por el PSI estuviera regida por  una finalidad onerosa, en lo más extenso del término, dicha presencia electrónica estaría incluida en el ámbito de la Ley. Así la información publicada por una sociedad empresarial siempre se consideraba con un ánimo remuneratorio o mercantil, aunque no fuese directamente el manifestado o aparente. En esta dinámica las personas físicas podían verse excluidas o incluidas de la aplicación de dicha Ley dependiendo de si su presencia en internet se veía beneficiada por acompañarse de algún tipo de publicidad que financiase su portal, página o blog. Si el mismo se encontraba impoluta de cualquier tipo de referencia sospechosa,  no se producía inclusión.

Como podrá percibir el lector, esta disyuntiva dejaba un caballito blanco: la Administración o siendo más preciso, gran parte del Sector Público. ¿Se le aplicaba la Ley 34/2002? El Ministerio manifestó raudo y tajante su posición NEGATIVA, salvo que dicha Administración realizase algún tipo de actividad que conllevase contra-prestación (vgr. venta de libros por internet bajo precio público). En el resto de supuestos no se aplicaba dicha normativa. Entonces, ¿la actividad administrativa en internet no se encontraba sometida a ninguna ley específica? Desde el año 2002 era complicado responder con taxatividad a dicha pregunta, hasta que en el año 2007 se aprobó la Ley 11/2007. Pero debe indicarse que a dicha norma sólo le preocupaba la presencia desde el punto de vista del trámite en la Sede Electrónica, no de toda la presencia de la Administración en Internet, dejando igualmente un espacio de inaplicación que se veía reforzado por una sectorización normativa que despistaba al más avezado lector. A las páginas web de las Administraciones ni se le aplicaba la Ley 34/2002 ni la Ley 11/2007, quedando en el limbo  jurídico. Evidentemente la aplicación generalista de la Ley 11/2007 no era una solución dado que las exigencias jurídico-tecnológicas que establecía para la Sede Electrónica serían de imposible mantenimiento, no siendo el alcance de dicha Ley tan amplio como para alcanzar indubitadamente todo el universo de actividades del Sector Público. Desde el punto de vista de la proporcionalidad, tampoco se intuía que una web administrativa -ligera tanto en seguridad como en contenidos- debiera ser tan rigurosa como la Sede.

Pues bien, esta situación diferenciada en el que las webs de las Administraciones no se les aplicaba la Ley 34/2002 ni la Ley 11/2007 ha sido ratificada por el legislador, que ha percibido su diferente naturaleza jurídica y su necesidad de regulación especial. Ahora bien, tampoco esperemos grandes alardes imaginativos en su regulación, dado que dicho portal se define como “el punto de acceso electrónico cuya titularidad corresponda a una Administración Pública, organismo público o entidad de Derecho Público que permite el acceso a través de internet a la información publicada y, en su caso, a la sede electrónica correspondiente“. Resumiendo, su contenido alcanza a un acceso a información publicada, con toda la amplitud que el término permite, además de facilitar el acceso a la sede electrónica.

Esta situación me suscita la siguiente duda, que os propongo para su reflexión, al igual que ocurría anteriormente: Si el portal de internet se incluye dentro de la Ley 40/2015 ¿supone que deberá cumplir con el ENS? ¿Tendrá que cumplir con el ENI? ¿Tendrá que estar en el catálogo de aplicaciones reutilizables? ¿El hecho de incluirlo en la Ley 40/2015 en vez de crear un régimen especial lo ha arrastrado hacia las obligaciones y deberes de la gestión Pública en toda su extensión?

Personalmente me parece un debate interesante, sobre todo si se analiza pormenorizadamente una web del Sector público en el que se incluyen fotos, tweets, links, calendarios, tiempo atmosférico, ofertas de empleo, restaurantes,… ¿Esta información deberá cumplir los criterios establecidos desde la Ley 40/2015? Como siempre lo dejo para que la mejor doctrina profundice en estos vericuetos jurídicos.

 

El controvertido consentimiento del art. 28 de la Ley 39/2015

El consentimiento expresado por las personas, su manifestación, vicios, formas y modos es una institución claramente estipulada por la normativa civil, siendo la referencia para el resto de ámbitos jurídicos.Por todos es conocido como el Tribunal Supremo ha afianzado las tres categorías del consentimiento, clasificándolos en expreso, tácito y presunto. En el tracto de los negocios jurídicos es realmente importante que exista un consenso sobre sus condiciones y validez, dado que al ser el acto de exteriorización de la voluntad de las partes sigue siendo el fundamento de todo acuerdo. Es en este consenso jurisdiccional, se ha establecido que únicamente los consentimientos catalogados como expreso y tácito conllevan una valoración positiva, siendo el presunto rechazado por no cumplir con los requisitos de una auténtica exteriorización de la voluntad.

Otras normativas, -protección de datos, consumidores, telecomunicaciones, comercio electrónico-, han reutilizado la doctrina civilista, añadiendo calificativos que han tenido que ser integrados en las categorías generalmente aceptadas, dado que la Ciencia Jurídica se fundamenta en ofrecer una respuesta armónica ante los mismos supuestos, ya que de otra forma dejaría de ser Ciencia.

En el ámbito de la Administración Electrónica, a mi modo de ver, este modo de prestar el consentimiento ha sido subvertido, dado que desde la Ley se presume la existencia de un consentimiento, convirtiendo a la negación en la auténtica expresión de la voluntad. A este respecto hay que remitirse al texto del artículo 28.2 de la Ley 39/2015, que indica que “se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.” El hecho y el consentimiento deben contextualizarse en un supuesto como el siguiente: Imagine que se encuentra tramitando un procedimiento administrativo, en el mismo debe aportarse una documentación que ya consta en alguna Administración. Según dicha normativa, no tiene que autorizar la búsqueda y remisión de dicha documentación, dado que se presume que ya lo ha consentido. Hasta aquí parece que es una comodidad para el peticionario, pero ocurre que en los procedimientos hay documentos facultativos o preceptivos (artículo 28.2 Ley 39/2015), que presentaremos según convenga a nuestra pretensión. ¿Con esta normativa, salvo que nos neguemos, podrán hurgar en todos nuestros documentos generados por la Administración aunque no queramos presentarlos si no lo manifestemos expresamente? ¿Puede buscar en Boletines, Registros y archivos sin mi consentimiento? ¿Tanto cuesta poner un “click” en el que el interesado manifieste expresamente que permite el acceso a dichos datos si quiere seguir el trámite? ¿Considera el legislador que los interesados son torpes, olvidadizos o que es mejor no preguntarles, para que no piensen? O por el contrario ¿Quieren que dicho consentimiento se convierta en una autorización que otorgue carta de naturaleza a cualquier cesión de datos por inverosímil que parezca?

Esto, aunque amparado por una Ley, es un consentimiento presunto: por mis actos se presume que estoy otorgando el consentimiento “hasta no se que límite“, siendo la propia Ley la que así lo manifiesta, “se presumirá que la consulta es autorizada“. ¿Pudiera pensarse que es un consentimiento Tácito en el que estoy obligado a manifestar mi voluntad si no estoy conforme? Si fuese así, me tendrían que indicar exactamente antes de obtener copias qué datos concretos van a reutilizar, para que pueda manifestar mi voluntad.

Es un interesante supuesto para que los Órganos de control manifiesten su parecer y actúen como controlador ante estas leyes Administrativas Electrónicas que carecen de Defensor exclusivo e independiente. Brindemos por su pronto análisis y por las fiestas venideras.