Archivo de la categoría: Administración Electrónica

Covid-19, la Ley 39/2015, el RDL 14/2019 y el Consejo de Empadronamiento

La situación anómala que genera el Covid-19 nos altera e inquieta pero de forma paralela nos muestra el auténtico estado de conocimiento de la ciudadanía y de algunas Instituciones, concretamente en lo referido a la Administración Electrónica. En este caso me refiero a la  Nota de la Comisión Permanente del Consejo de Empadronamiento de 31 de marzo de 2020, que de forma resumida plantea el problema que estamos viviendo en tres elementos clave:

Primero.- Por el estado de alarma existe una imposibilidad de desplazamiento de los ciudadanos a sus Ayuntamientos para solicitar sus Certificados de empadronamiento.

Segundo.- Que los ciudadanos no disponen de sistemas de identificación y firma electrónica.

Tercero.- Que estos últimos remiten un correo electrónico a los Entes Locales para obtenerlo.

Con estas premisas todo conocedor de la Ley 39/2015, de la Ley de firma Electrónica o de la Resolución de 2015 del INE sabe que los sistemas de identificación y firma son los que el legislador indicó, siempre con especial hincapié en la correcta identificación de las personas por los posibles riesgos existentes en la confidencialidad de la información y, concretamente, en la normativa de protección de datos. Todo ello, sin entrar en muchas profundidades con la reciente modificación ultra-restrictiva del los artículos 9 y 10  de la Ley 39/2015 mediante el Real Decreto-ley 14/2019 (os recomiendo releer ese RDL, por si no lo tenéis fresco), protegiendo los sistemas de identificación y firma en las más altas cotas de seguridad del Estado, e igualmente, sin realizar el mínimo atisbo sobre el ENI o el ENS.

Conocedores de estos antecedentes normativos, todos esperaríamos que el Consejo hubiese fomentado e incluso requerido a las Instituciones del Estado con el fin de conseguir -mediante la aplicación del artículo 9.2 de la Ley 39/2015-  un sistema de claves concertadas menos riguroso que cl@ve, o similar, abriendo alguna vía interpretativa o al menos, haber obtenido una autorización general por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública para un sistema menos riguroso de identificación.

Muy a mi pesar la solución ofrecida dista enormemente de cualquier sofisticado sistema que conjugue leyes y tecnología. La solución consiste en (copio en literal):

-Copia cifrada de un documento acreditativo de su identidad , para lo que bastaría con comprimirla con una contraseña robusta que luego  se enviará en un correo aparte.
– Si el certificado que se solicita es colectivo se deberán enviar por el mismo sistema copias de los documentos acreditativos de la identidad de todos los empadronados en el domicilio. Para los menores de edad se deberá aportar copia del certificado de nacimiento o del libro de familia.
– Escrito firmado por el solicitante indicando una serie de datos como, por ejemplo, el nombre y apellidos, dirección de empadronamiento en el municipio, el nombre y apellidos de los demás empadronados en el domicilio para certificados colectivos, dirección del correo electrónico, motivo de la solicitud, teléfono de contacto ; con el objetivo de aumentar las garantías en la comprobación de su identidad y de no facilitarle en el certificado información que él no haya dado previamente.
– En el caso de certificados colectivos, un escrito firmado por todas las personas mayores de edad empadronadas en el domicilio autorizando al solicitante del certificado.

Una vez confirmada la identidad, el Ayuntamiento podría remitir por correo electrónico el certificado de empadronamiento también en un documento cifrado, cuya contraseña se enviará en un correo aparte.

No puedo evitar realizar un par de comentarios:

Primero.- Parece que cifrar la información  -independientemente del sistema de cifrado que se aplicase  que da para otro hilo de conversación- garantiza la identidad de las personas, no distinguiendo entre identificación y confidencialidad . La distinción es clara dado que el hecho de crear una cuenta electrónica denominada antxon234fd@xx.com no me convierte en Antxon, siendo indiferente -a efectos de identificación- que la información vaya o no cifrada. Con todo esto no he descubierto nada que ninguno de los lectores no sepa.

Segundo.- Parece que el Estado de Alarma -en algún artículo que se me escapa- ha suspendido la aplicación del Real Decreto-ley 14/2019, al menos, en las partes de identificación y firma.

En  fin, seguimos manteniendo un sistema jurídico muy regulado pero que se aplica de una forma curiosa dependiendo de las circunstancias. Menos mal que todo volverá a su estado natural el día que se acabe el Estado de Alarma y estas anomalías desaparecerán tal y como vinieron.

Covid-19 y entrada en vigor de la E-Administración

Dado que en este tiempo de confinamiento estamos más dados a la reflexión, somos más conscientes del tiempo y de los plazos, la mente construye escenarios en el que el 2 de octubre del 2020 se sigue dibujando como la fecha tope para que todo el Sector Público implante la Administración Electrónica. Si a este objetivo ya de por si difícilmente alcanzable le unimos la situación que estamos viviendo ofrece un escenario en el que sólo pudiera salvarse mediante una nueva prorroga de los plazos tal y como ocurrió un mes antes de la anterior moratoria mediante el Real Decreto-ley 11/2018, de 31 de agosto.

Podría pensarse que la Disposición Adicional Tercera Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma pudiera ser la palanca por la que se alteraran o se suspendieran los plazos de entrada en vigor de la E-administración (como acertadamente ha precisado la abogacía del Estado diferenciado suspensión de interrupción), pero sería una interpretación muy forzada ya que la Disposición se refiere exclusivamente a los procedimientos administrativos no a las obligaciones que la norma ha impuesto a las administraciones. Y tampoco la Disposición Adicional Cuarta del mismo texto, por la que se suspenden los derechos y las acciones tiene la misma naturaleza que la obligación de cumplimiento de la administración electrónica.

Por lo que, viendo el estado de situación y de la tecnología, sería más que recomendable que el Gobierno incluyese alguna línea repensando el plazo de implantación de esta entelequia compleja y necesaria, dando tranquilidad a los equipos de trabajo, sobre todo por no haberse aprobado la batería de normas que desarrollan y dan sentido a esta realidad.

El Esquema de Certificación de la AEPD impide ejercitar los derechos RGPD

Reconozco que hay supuestos que no dejan de sorprenderme por las interpretaciones peculiares que  realiza a veces la AEPD, apurando y estrujando las bases jurídicas de tratamiento dependiendo de circunstancias poco clarificadoras.

Mi compañero Gontzal, leyendo los documentos de primera hora y que se nos acumulan, ha tenido el mérito de encontrar esta frase que nos ha inquietado.  La AEPD, mediante una Resolución de 10 de enero de 2020, aprobó la modificación del Esquema de Certificación de Delegados de Protección de datos, dentro de la cual se incluye un apartado 7.5 (pg 15) “método de evaluación” el que se afirma que  “no está permitido facilitar o mostrar los exámenes a los candidatos que lo soliciten“.

Es decir, todos aquellos solicitantes al examen de certificación que hayan realizado el mismo y quieran revisarlo, no pueden acceder a su contenido por estar prohibido desde el propio órgano de Certificación.  Ciertamente, me deja asombrado que el órgano que vela por la existencia de este derecho sea el que cercena el derecho recogido desde hace 30 años en la legislación, interpretando de forma ultra restrictiva la obtención de copias del artículo 15 del RGPD, no indicando cuál es el límite legislativo que le impide su exposición -de los contemplados en el artículo 23 de la misma norma-, y sea uno de los promotores de un límite del artículo 105 b) de la Constitución, del Convenio del Consejo de Europa sobre el Acceso a los Documentos Públicos (no ratificado), o las STS como las de 14 de noviembre de 2000 o 30 de marzo de 1.999.

La AEPD no puede promocionar la limitación de los derechos de protección de datos sin base ni fundamento, y no sería coherente ni propio de dicho órgano fundamentarlo en la Ley de Secretos empresariales. ¿Se imaginan que en los procesos selectivos, concursos, exámenes de universidad, colegios o cursos académicos aplicásemos dicho criterio? ¿De verdad nos creemos la esencia y filosofía que subyace en protección de datos o es mero postureo?

 

La RED SARA: ¿sigue siendo la Red Troncal?

Es evidente que los cambios normativos siempre alteran las jerarquías y las relaciones entre categorías o elementos jurídicos, por eso y para mantener la suficiente coherencia los operadores jurídicos solemos solicitar con vehemencia que todo cambio se realice con la suficiente calma, reflexión y análisis. En los cambios últimos producidos por el RDL 14/2019 y ya comentados en el anterior post, me he percatado de un elemento que pudiera tener cierta trascendencia o que igual ha sido trasladado a otra norma que no he sido capaz de encontrar. Me refiero al fundamento de la RED SARA como punto de encuentro del resto de redes de las AAPP y que se sustentaba en el artículo 43 de la derogada LAECSP y en el posterior artículo 155.3 de la LRJSP, que ha quedado totalmente desfigurado por su nueva redacción establecida en el RDL 14/2019.

Entrando en materia el susodicho artículo 43 o 155.3 establecía la siguiente obligación:  “La Administración General del Estado, las Administraciones Autonómicas y las Entidades Locales, adoptarán las medidas necesarias e incorporarán en sus respectivos ámbitos las tecnologías precisas para posibilitar la interconexión de sus redes con el fin de crear una red de comunicaciones que interconecte los sistemas de información de las Administraciones Públicas y permita el intercambio de información y servicios entre las mismas, así como la interconexión con las redes de las instituciones de la Unión Europea y de otros Estados Miembros”. Esta obligación  se recogió como un mandato insoslayable en el artículo 13 del ENI, desarrollándose con profusión en la NTI  de requisitos de conexión a la red de comunicaciones de las Administraciones Públicas españolas, así como en las guías que la desarrollan: toda una estructura que establecía un modelo de red en el que SARA ocupa un lugar prominente.

Se produce, por tanto, un desencuentro entre el fundamento manifestado en el vigente artículo 13 del ENI (“al objeto de satisfacer lo previsto en el artículo 43 de la Ley 11/2007, de 22 de junio”) así como en la NTI derivada con la normativa vigente, dado que la existencia destacada de la RED SARA  cumplía el mandato del artículo 155.3 de la LRJSP  o anterior 43 de la LAECSP, y dado que han desaparecido de los textos con rango de Ley,  dejan desamparados el resto de obligaciones establecidas en sus desarrollos normativos salvo que se considere, en un bucle sin sentido, que todo lo contemplado en el ENI tiene la bendición general del 156 de la LRJSP.

Muchos saltos mentales hay que realizar para parchear lo evidente: si tanto el ENI como su NTI de requisitos de conexión a la red de comunicaciones de las Administraciones Públicas españolas indican expresamente que su fundamento se halla en un artículo o en un texto que ya no existe hay algo en la lógica jurídica que flojea o al menos, que abre diferentes vías de debate, dejando la pregunta en el aire: ¿es o no es obligatoriamente la RED SARA la red troncal  de comunicaciones que interconecta los sistemas de información de las Administraciones Públicas y permita el intercambio de información y servicios entre las mismas?

Desde el punto de vista práctico no me queda duda que lo sigue siendo, dado que las Administraciones se han procurado vía Convenial potenciar el papel de SARA, pero su posición legal ha dejado de ser indiscutible pudiendo modificarse los textos y los acuerdos que mantienen su preponderancia a criterio de los firmantes. Igual sería conveniente volver a revitalizar el texto perdido.

Apuntes del Real Decreto -Ley 14/2019

Tal y como se había anunciado la semana pasada en la reunión del Consejo de Ministros de 31 de octubre, el BOE ha publicado el Real Decreto Ley 14/2019 que impacta directamente en la normativa relativa al tratamiento de información por parte del Sector Público. Por la estructura y contenido de la norma puedo congratularme en un sentido doctrinal que he defendido durante años en el que la Administración Electrónica no existe realmente como concepto jurídico, sino como criterio aglutinante de diferentes actuaciones administrativas que tienen como denominador común la actividad automatizada. El propio título del RDL manifiesta que su contenido incluye medidas urgentes que se adoptan en las siguientes materias:

  • Seguridad Pública
  • Administración digital
  • Contratación del Sector Público
  • Telecomunicaciones

Las modificaciones, más allá del detalle, se plantean con un carácter claramente defensivo, careciendo de la confianza legítima que debiera regir las relaciones entre las Administraciones Públicas. Ciertamente, su contenido no puede entenderse sin el momento político actual que se vive en Cataluña pero no es menos cierto que el diseño de un entramado normativo generado desde el problema y no desde el horizonte de la generalidad provocará un nuevo sistema complejo, lento, procedimentado y nada coherente con los estudios previos de la “nueva Administración” ni Estatales ni Europeos.

A modo de simples notas, se pueden comentar las siguientes novedades, que deben ser matizadas por las Disposiciones Transitorias del RDL que permite un período de adaptación variable entre los 3 a los 6 meses, dependiendo de la actividad:

Primero.- El DNI adopta un papel preponderante respecto a su alcance y eficacia. Es el único documento que acredita a todos los efectos la identidad de las personas. No quiere decir que anule al resto de documentos, pero el DNI en la actualidad es el único que alcanza a todos los ámbitos: ¿Quiere decir que con mi DNI puedo identificarme ante todas las Administraciones y acceder a mi Polideportivo, identificarme como conductor en vigor o abogado en ejercicio? Creo que iré tirando carnés que me sobran… o igual espero todavía.

Segundo.- Los sistemas de identificación y firma electrónica sustentados en Registros de Clave concertada – el habitual usuario/contraseña- debe ser previamente autorizado por la Secretaría General de Administración Digital. Los sistemas de identificación de clave blanda, como vulgarmente se les conoce, son utilizados de forma generalizada por la Administración, y dependiendo de cómo se interprete el artículo puede alcanzar incluso a los sistemas de comunicación institucional con los ciudadanos, impactando en herramientas que se usan con cierta ligereza pero a veces, con ciertos efectos.

Tercero.- La ubicación de los sistemas de custodia de la información no es libre dependiendo del tipo de datos que se traten debiendo almacenarse en territorio nacional o al menos, dentro del territorio de la Unión Europea, o contar con una decisión de adecuación de la Comisión Europea. Entiendo que este aspecto ya ha sido respetado, quedando un resquicio en la utilización de redes sociales, las cuales cada vez se encuentran más cercadas para ser utilizadas por las Administraciones Públicas.

Cuarto.- La interoperabilidad se instituye como  un régimen jurídico en el que la confianza entre el cedente y cesionario no prima. En dichas trasmisiones el cesionario debe acreditar al cedente que utilizará los datos para fines compatibles, pudiendo el cedente comprobar dicha compatibilidad. ¿Cómo comprobará una Entidad Local que sus datos de padrón se utilizarán para un fin compatible, con qué medios cuenta para realizarlo? Si el despliegue de la interoperabilidad se estaba convirtiendo en un imposible se genera un mundo de desconfianza en el que es más sencillo no compartir que transmitir datos.

Quinto.- La normativa de Protección de datos se convierte a ser el Rey en la Contratación Pública. Si no se siguen todas las referencias en la Memoria del Expediente, en los Pliegos de Contratación, o en el contrato de adjudicación, nada más y nada menos que el contrato puede devenir NULO. Ni qué decir que la consecuencia jurídica parece desproporcionada a los fines perseguidos.

Sexto.- El Blockchain parece que no está bien visto por la normativa, hasta que no sea regulado expresamente. No voy a decir que me alegro, pero era un tema recurrente, con mucha exposición mediática y que había comentado en un post algo antiguo.

Séptimo.- Los sistemas de redes de telecomunicaciones en régimen de autoprestación por el Sector Público requiere de una autorización previa. Ciertamente no afectará por igual a todas las Administraciones Públicas, pero mantiene este sistema de desconfianza comentado.

Lo dicho, norma rápida para problemas complejos en un mundo en el que se desconfía del vecino. Para arreglar un problema igual acabamos ralentizando el objetivo final: el despliegue de la ¿Administración electrónica?

Notificación electrónica frente a la realizada en papel. Ley 39/2015

La notificación es la piedra angular de los procedimientos administrativos, no pudiendo imaginar una tramitación correcta si se producen defectos en su comunicación final,  por eso se procura realizar siempre con las debidas cautelas, para lograr la efectiva notificación. De forma resumida, este ha sido el objetivo a cumplir en todo el sistema de notificación administrativa, el cual ha sido invadido por un nuevo sistema tecnológicamente superior, económicamente más eficiente y sobre todo, con una posible reducción de la carga probatoria: es la notificación electrónica.

Personalmente creo que poco crítica ha sido la doctrina al respecto, considerando la enorme repercusión que supone el cambio de sistema. Para comprender su alcance, deben comprenderse dos conceptos:

El primero, el subjetivo, los interesados obligados a recibir dichas notificaciones que conforme al artículo 14 de la LPACAP comprende a todos los colectivos excepto a las personas físicas que no actúen ni como colectivo definido, ni como profesional ni empresario. El alcance de interesados incluidos supone un gran porcentaje, con la repercusión que ello conlleva, sin olvidar, que el grupo de interesados excluidos puede voluntariamente adherirse a la notificación electrónica.

En segundo lugar, el mecanismo de notificación mediante comparecencia en sede electrónica o dirección electrónica habilitada. En cualquier caso, es una nueva potestad otorgada a la Administración que le confiere un poder enorme, no habiéndose producido una “rebelión” doctrinal que compensase ese poder. Parecen palabras gruesas, pero debe considerarse cómo ha cambiado el sistema de notificación del papel al electrónico: en el sistema papel es la Administración que, por sus medios o mediante el concurso de terceros (carteros, correos, empresas contratadas,…) se desplaza y busca en el domicilio del interesado la forma de notificar. En el sistema electrónico, la Administración deja en su propio espacio electrónico (bajo su absoluto control) la notificación, debiendo el interesado acercarse, introducirse, navegar, entender los caminos para llegar a la notificación, comprender los avisos legales, superarlos, actuando dentro de la “casa” de la propia Administración, con sus reglas. Que dicha sede electrónica sea amigable, comprensible, inteligible, sencilla y accesible son elementos totalmente subjetivos que hacen descompensar la relación jurídica en favor de la Administración actuante, consiguiendo una nueva potestad dentro del elenco de las potestades que ya dispone la misma.

¿No sería conveniente establecer alguna compensación a dicha nueva potestad? ¿Qué consecuencia jurídica tiene la dificultad de navegación, el error, el desconocimiento o la duda para un interesado? ¿Existe una carga iuris et de iure que toda plataforma de toda Administración es conforme a derecho? ¿Cómo puede el ciudadano romper esa presunción? Igual sería conveniente prever dichos supuestos creando un órgano que cumpla y haga cumplir, no ya el procedimiento administrativo, sino los principios de navegación que pueden llegar a ser tan relevantes  como el propio procedimiento. Podríamos invocar el artículo 18.4 de la Constitución “la ley limitará el uso de la informática…”. Palancas haylas, solo hay que impulsarlas.

El aviso electrónico de cortesía en la Ley 39/2015

Desde las primeras inmersiones de las Administraciones en lo relacionado con las comunicaciones y notificaciones electrónicas (al menos, las que conozco) se procuró guardar las máximas cautelas para que los estrictos y modelables criterios del TS sobre notificaciones no echasen al traste el poder que les otorgaba la nueva notificación electrónica, ya que otorgaba una posición de preponderancia a las Administraciones, suponiendo una considerable reducción de costes y esfuerzo, siempre que las mismas fueran realizadas en condiciones de seguridad jurídica. La doctrina del STS en materia de notificaciones ha mantenido una tendencia constante en la que se exige a la Administración extremar el celo siempre que se trate de notificaciones de actos sancionadores,  dejando -claro está- en el aire las concretas medidas que deben adoptarse. Esa indefinición en el detalle, unido a las nuevas potestades de notificación electrónica que permiten, tras superar el plazo de 10 días, dar por válidamente notificado o rechazada una notificación, forzó a realizar todas las cautelas viables para que los interesados no derrumbasen el procedimiento por una falta de diligencia administrativa, más allá de los cumplimientos formales.

Por ese motivo, de una forma prácticamente unánime, espontanea y sin consenso previo, las Administraciones consideraron que el aviso previo o la cortesía de un e-mail, podría ser un elemento que reforzase las garantías del procedimiento de notificación. Tal fue así, que la LPACAP en su artículo 41 recogió ese criterio como un refuerzo en la notificación. Pero el mundo jurídico no entiende de buenas prácticas, dado que las leyes recogen derechos, obligaciones o expectativas que generan, y como era de esperar, el aviso se convirtió en objeto de debate. Debate en diferentes sentidos que pueden concretarse en los siguientes:

¿El aviso es una obligación para la Administración? La exposición de motivos de la LPACAP parece que  circunscribe el envío a la posibilidad -“siempre que sea posible“- del envío, suponiéndose que pudieran existir limitaciones desde el punto de vista técnico, de coste u organizativo, pero el artículo 41 deshace dicha frase convirtiéndolo en una obligación -“las Administraciones Públicas enviarán un aviso.”  Por tanto, parece que la Administración está obligada a enviar dichos avisos, dado que no deja opción a posibles limitaciones de envío.

Si es una obligación para la Administración ¿es un derecho o una potestad para el interesado? La respuesta puede obtenerse del mismo texto legal que indica cómo  “el interesado podrá identificar un dispositivo electrónico y/o una dirección de correo electrónico que servirán para el envío de los avisos”. Por tanto, parece que el interesado tiene la llave, la potestad, el derecho que se le envíe el aviso, siendo así por varios motivos: el primero, por ser la persona que debe indicar clara, específica y correctamente la dirección electrónica de recepción del aviso. Si la dirección electrónica es incorrecta, inválida, no recibe ya los avisos o por problemas técnico-económicos (entiéndase  por aquellos envíos sometidos a coste para la Administración  emisora, como pudieran ser determinados sms o mms) no podrá recibirse el envío. En segundo lugar, porque al ser una potestad  del interesado, este podrá elegir en cada procedimiento, en todos los procedimientos, durante el procedimiento a que le sigan o no enviado dichos avisos, dándose de alta o de baja tantas veces como lo determine.

Considerando que existe este derecho-obligación ¿qué consecuencia jurídica provoca el mal funcionamiento o el no envío de dicho aviso? Parece que la creación de una relación jurídica debería producir algún tipo de consecuencia, pero aquí es donde el legislador trató de cercenar todo tipo de expectativa: el propio articulado de la LPACAP pone la venda antes de la herida y manifiesta con rotundidad que “la falta de práctica de este aviso no impedirá que la notificación sea considerada plenamente válida”, no generando ningún tipo de expectativa ni derecho la falta de emisión de los avisos. Este hecho compone uno de esos supuestos en los que la Administración está obligada a realizar algo, pero su incumplimiento no conlleva la consecuencia jurídica que pudiéramos esperar.

Y ante este desazón, falta de expectativas cumplidas o ruptura entre una obligación sin consecuencia, es donde entran los tribunales, concretamente y por su rango,debe mencionarse  la Sentencia 6/2019, de 17 de enero de 2019 del Tribunal Constitucional, en la que se debate el sistema de avisos regulado por la Ley de enjuiciamiento Civil. Ciertamente no es la misma legislación pero guarda una profunda relación de equivalencia entre los textos, y además, al ser analizado desde la perspectiva de la vulneración de los derechos fundamentales sus conclusiones deben ser tenida muy en consideración. Básicamente concluye lo mismo que lo expuesto, relativo a la inexistencia de consecuencia por vulneración de derechos fundamentales en el supuesto que no se produzca el aviso electrónico.

El aviso se configura, por tanto, como una mera cortesía, una consideración hacia el interesado o una gentiliza pero no una acción cuya inacción pueda tener consecuencias jurídicas y por tanto ser reclamada ante los tribunales.

Valor jurídico de las Guías del CCN

Hace unas semanas me plantearon profesionalmente una duda muy sencilla relativa al valor jurídico u obligatoriedad de cumplimiento de las Guías del Centro Criptológico Nacional (CCN) en el ámbito de las Administraciones Públicas. Aparentemente es una cuestión sencilla, pero nos introduce sutilmente en ese ámbito regulatorio de la Administración que, con un fundamento técnico, puede imponer obligaciones a todo el Sector Público e incluso a los proveedores de productos o servicios del Sector privado que suministran a dichas organizaciones.

El CCN, regulado entre otras normas por el Real Decreto 421/2004, tiene relativamente pocas funciones, articuladas todas a través del concepto de la “seguridad”, permitiéndosele elaborar y difundir normas, instrucciones, guías y recomendaciones (CCN-STIC),  valorar y acreditar la capacidad de los productos de cifra, constituir el organismo de certificación, llegando incluso el ENS a darle un cierto peso interpretativo respecto a sus Anexos, los cuales se van convirtiendo poco a poco en doctrina cuyo cumplimiento no se discute.

Esto nos hace reflexionar sobre dos aspectos relativos, primeramente, al alcance del concepto de la seguridad y, en segundo lugar, a las consecuencias de no seguir los criterios que indique el CCN. En primer lugar, respecto al concepto de la seguridad nos encontramos con uno de los conceptos más vaporosos, extensivos y potencialmente invasivos que podamos imaginar. Basta recordar el alcance de las medidas recogidas en el Anexo I del ENS, distribuidas en 3 grandes grupos (Marco organizativo, operacional y medidas de protección) que desarrolla aspectos tan dispares como Protección de las instalaciones e infraestructuras, Áreas separadas y con control de acceso, Identificación de las personas, Acondicionamiento de los locales,  Protección frente a incendios, Gestión del personal, Deberes y obligaciones, concienciación, … y muchas más. Simplemente hay que imaginar a una Administración realizando una obra nueva, generando una nueva instalación en un local y en la que -evidentemente- cuando entre en servicio tratará información en sistemas automatizados y mixtos. ¿debe considerar el ENS además de los demás requisitos normativos y arquitectónicos? La respuesta es evidente pudiendo encontrarse en una situación compleja al tener que conjugar las diferentes normativas.

La siguiente cuestión radica en determinar si las normas del CCN son de obligado cumplimiento, a lo que debe contestarse que lo son de forma indirecta. Por un lado, para su validez, deben aprobarse mediante resolución de la Secretaría de Estado de Administraciones Públicas previa autorización del correspondiente “Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica”. Por otro, conforme a la DA1ª de la  nueva LOPDGDD, el cumplimiento de lo contenido en el ENS se convierte en el modo de cumplir con la seguridad en protección de datos el ámbito del Sector Público, teniendo los órganos de control la capacidad de declarar la infracción en caso de “no adoptar de aquellas medidas técnicas y organizativas que resulten apropiadas“… y las apropiadas son las que marca el ENS e interpreta el CCN.

En resumen, y respondiendo a la pregunta del post ¿son obligatorias las guías e instrucciones del CCN? Bueno, no puedo afirmarlo, pero seguramente si actúas en el ámbito del Sector Público estarás más tranquilo si las cumples.

El funcionario habilitado en la e-administración

La LPACAP, en el ámbito de la gestión de la actividad administrativa, señala dos funciones que claramente tienen que ser realizadas por funcionarios, como son  la asistencia en el uso de medios electrónicos a los interesados (regulada en el artículo 12) y la realización de copias auténticas (artículo 27). La exposición de motivos de la norma indica que dichas funciones podrán realizarse por los mismos funcionarios, “no existiendo impedimento a que un mismo funcionario tenga reconocida ambas funciones o sólo una de ellas”, no debiendo realizarse mayores consideraciones jurídicas pues su cumplimiento pasa, indefectiblemente por disponer de -al menos- un funcionario que realice dichas función.

Dicho esto, debería hacerse una reflexión sobre las relaciones jurídicas que mantienen las diferentes Administraciones y Corporaciones del Sector público con su personal, que de por sí se convierte en una especialidad jurídica con un debate propio, en el que al profano le parecen todas las situaciones similares, pero a un miembro de las mismas distingue y separa claramente entre dichos empleados públicos al personal funcionario (de carrera o interino) y al personal laboral (fijo o eventual), además de todas las especialidades en los diferentes ámbitos (sanitario, directivo, fuerzas armadas, Entidades Locales, Cortes, judicatura, correos, enseñanza, …), siendo esta distinción una aproximación más que distante a un mundo complejo y cuya distinción conlleva  diferentes consecuencias jurídicas.

Dicho esto, no cabe sino elucubrar cómo se llevará a cabo estos registros de funcionarios habilitados, que serán plenamente interoperables y que dejarán constancia de quién tiene la capacidad de realizar ciertas actividades dentro de cada Organización, dado que dicho registro es obligatorio para todas aquellas Instituciones que apliquen la LPACAP, aunque sea supletoriamente, dado que la Norma técnica de Interoperabilidad de dichos registros todavía no ha sido aprobada, ni ha pasado de ser una mera elucubración normativa.

Pero volvamos a la distinción de funcionario- empleado público ¿Todas las Corporaciones de derecho Público, organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas tienen funcionarios en sus plantillas como para realizar legalmente esas funciones? Un colegio profesional, que es una Corporación de Derecho Público y aplica la LPACAP en determinados ámbitos de su actividad pero no tiene funcionarios en su plantilla ¿no puede realizar copias auténticas ni ayudar a los interesados a tramitar sus solicitudes electrónicamente en el SOJ? ¿Y el resto de Organismos Públicos? ¿Todos disponen de, al menos, 1 funcionario para realizar esas funciones? Por último, y llevando la reflexión al extremo, las propias Administraciones Públicas están tendiendo a disponer de grupos especializados de atención al ciudadano (SAC), que de forma centralizada realizan justamente las tareas definidas en esas normas ¿deben ser todos ellos funcionarios?¿Deben depender de un funcionario, dígase el Secretario de la Entidad Local, y éste debe supervisar su labor haciéndose responsable de la labor del personal de atención directa? ¿está dentro de sus funciones descritas en el Real Decreto 128/2018, de 16 de marzo, por el que se regula el régimen jurídico de los funcionarios de Administración Local con habilitación de carácter nacional -posterior a la propia LPACAP?

Son muchas las preguntas, y pocas las respuestas. Aunque el Anteproyecto de LPACAP trató de cambiar el concepto de funcionario al de empleado público (quedándose olvidado el concepto de empleado público en la DF 7ª), durante su tramitación se volvió a retomar el concepto de funcionario de la LAECSP ,y todo ello a pesar de la  crítica mordaz que el Consejo de Estado le inquirió al respecto.

En fin, la única esperanza es que la Administración electrónica vuelva a tener un nuevo periodo de gracia (digamos que hasta octubre del 2022¿?) y nos deje reposar estos conceptos o al menos, buscar soluciones a situaciones difícilmente resolubles.

La cortesía en el RGPD: E/09288/2018 – AEPD

En el derecho existen conceptos complejos, indeterminados e indefinidos pero de vez en cuando descubrimos nuevas versiones que nos generan cierta confusión y nos abren futuras puertas en cuanto a las fundamentaciones jurídicas que podemos utilizar en el tratamiento de datos. Mi compañero Gontzal ha tratado también el mismo asunto, pero voy a aventurarme con mi propia perspectiva.

La resolución de la AEPD referida como E/09288/2018 – AEPD expone unos hechos en los que confusamente relacionados explican cómo una empresa captó datos  de un ciudadano (publicados, expuestos en internet…. no lo indica)  para ofrecerle una posible colaboración comercial, realizando una remisión de mensajes comerciales “de spam a su móvil y presionándole vía WhatsApp”, con el fin de conseguir sus objetivos mercantiles . Esta acción -no explicada en detalle- supone un tratamiento claro de datos personales, tanto de su nombre, apellidos, teléfono móvil, además de poder incurrir en una vulneración de la legislación sobre comunicaciones comerciales, no negando ninguno de dichos aspectos la resolución, planteando el debate desde la única perspectiva si dicho tratamiento pudiera constituir una “presunta vulneración del artículo 6.1 a) del RGPD, que exige el consentimiento del interesado para el tratamiento de sus datos personales para que el mismo sea lícito“.

Llegados a este punto, la resolución pudiera haber tratado cómo dicho tratamiento por algún motivo se encuentra fuera del ámbito del RGPD, o se encuentra amparada en un tratamiento legítimo, conforme al artículo 6.1.f), ofreciéndonos nuevas pautas sobre el alcance del concepto del tratamiento legítimo, pero nada más lejos de la realidad, tal vez por falta de tiempo, por exceso de trabajo o por error tipográfico, archivan las actuaciones simplemente porque “se ha constatado que las conversaciones entre el reclamante y la empresa  se trataban de una simple prospección empresarial de cortesía, en aras de una posible colaboración”. Es decir, la cortesía elimina toda necesidad en el cumplimiento de protección de datos, siendo muy importante para el trato humano éticamente correcto, pero además si el trato ha sido caballeroso, gentil y amable nos excluye del cumplimiento de protección de datos.

Tal y como se decía en el Quijote “sé cabal con los hombres, sé cortés con las mujeres“.