La protección de datos personales en las administraciones públicas: retos.
Carme Sánchez Ors
Tesorera Junta Directiva APEP
Estamos a menos de un año para que se agote el plazo para la adecuación los Esquemas Nacionales de Seguridad (ENS) y de Interoperabilidad (ENSI), y a pesar del creciente interés social que despiertan la protección de datos personales y la transparencia la Administración Pública, éste no parece ser correspondido por nuestras administraciones, a juzgar por un elemento claramente revelador como es el contenido de sus páginas web.
Para el funcionamiento e-Administración se requiere un tratamiento masivo de datos por las Administraciones públicas. No pueden concebirse los trámites administrativos ni los servicios públicos sin este tratamiento de datos. Para facilitar trámites, la presentación de documentos digitalizados, así como el intercambio de información entre administraciones (la interoperabilidad) es indispensable la garantía del derecho fundamental a la protección de datos. La protección de datos se manifiesta en la Ley 11/2007 como principio rector de actuación así como un derecho de los ciudadanos. En la práctica, este derecho es un instrumento catalizador que a través de principios como la información en la recogida, el consentimiento, o la calidad de los datos proporciona seguridad y confianza,
Para ello la adaptación a la e-Administración y su adecuación a la protección de datos presenta en estos momentos una serie de retos
· Se percibe como algo que plantea exigencias organizativas y económicas importantes.
· La visibilidad de la administración que suministra la información al ciudadano se antepone en muchos casos al interés del ciudadano que se centra más en acceder a sus expedientes.
· En el canal electrónico y en el tradicional se continúa exigiendo mayoritariamente los mismos modelos (básicamente por un excesivo rigor de los responsables jurídicos de las corporaciones que no han comprendido el necesario cambio de paradigma).
· Es necesario proporcionar transparencia, permitiendo el acceso a la información pública de manera sencilla y clara, facilitando que de esta manera que los ciudadanos puedan realizar un control de la acción de gobierno y creando valor económico o social a partir de los datos públicos ofrecidos libremente por la Administración.
· El Open Data debe poner la información del sector público a disposición de la comunidad en formatos estándar abiertos, facilitando su acceso y permitiendo su reutilización garantizando la privacidad de los ciudadanos. Compartir información y servicios para focalizar la actividad del sector público en el ciudadano, puede considerarse un factor crítico para reducir el gasto.
· La interoperabilidad comporta comunicaciones de datos masivas y su soporte básico reside en una adecuada calidad de la información. Cumplir con la LOPD será estratégico para garantizar la legitimidad de los tratamientos y la calidad de la información.
· La e-Administración comporta también favorecer el derecho de la ciudadanía a participar activamente en la configuración de políticas públicas y requiere motivar a los ciudadanos para que utilicen los servicios puestos a su disposición. La frustración tantas veces asociada a la dificultad para usar el DNI electrónico no puede repetirse.
· El uso por parte de algunas Administraciones de la sede electrónica como canal de distribución de formularios, o la administración electrónica ligada a las obligaciones de los ciudadanos (pago de tributos) tampoco parece que ayude a una percepción positiva por parte de los ciudadanos. Se ha conseguido que los ciudadanos trabajemos para la administración, aumentemos su productividad, sin que esta mejore substancialmente sus servicios al ciudadano.
· Además resulta necesario superar regulaciones desfasadas pensadas en el formato papel.
Por otra parte, el esquema Nacional de seguridad es la evolución natural e integradora de las exigencias de la LOPD y de los Sistemas de Gestión de la seguridad de la Información (SGSI, UNE/ISO-IEC 27001) en el ámbito de la Administración Pública. Una adecuada implementación presenta diversos retos.
En primer lugar, no puede dejarse pasar la oportunidad de aprovechar la implementación de las obligaciones de seguridad del ENS para una aplicación unificada con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Las figuras que aparecen un uno y otro reglamento pueden converger, siendo imprescindible disponer de una única Política de seguridad corporativa y no de políticas sectoriales (para el ENS o para sistemas diversos) ligadas más a los plazos en que se mueve la política y a ser puramente reactivos, que a su inclusión desde el diseño de los proyectos.
Además es necesario alinear el Esquema Nacional de Seguridad con las actuaciones en materia de seguridad en el ámbito internacional. Por ejemplo con el WPISIP-en, GTSIVP-fr, de la OCDE sobre la seguridad de la información y la vida privada, que favorece un enfoque mundial y coordinado en la elaboración de las políticas destinadas a crear una cultura de seguridad en la red.
Por último, resulta imprescindible cambiar la forma de trabajar, y el ENS a nivel teórico va en esa línea, ya que propone un buen modelo de seguridad. Sin embargo, las consecuencias que podría comportar su incumplimiento para las Administraciones Públicas no parece que les quiten el sueño. Ello sin perjuicio de que del incumplimiento del RDLOPD se deriven al menos declaraciones de infracción que aunque sin sanción económica afectan a la reputación de los sancionados.