Transparencia: derechos sobre los datos; protección de datos: derechos sobre tus datos. Parecido ¿verdad?
Estando literalmente harto, y me consta que no soy el único, de que se utilice de forma recurrente la protección de datos contra la apertura de los mismos, creemos que ha llegado el momento de romper ese falso mito, demostrando que no solo no son lo contrario, sino más bien dos caras de una misma moneda.
Siempre se habla de protección o seguridad de los datos, pero a nosotros nos gusta más hablar de simplemente de seguridad. Es un hecho que la seguridad jurídica, la informática e incluso la física están ahora mismo en peligro por el simultáneo crecimiento de los datos e informaciones electrónicos (big data) de forma paralela a las amenazas para los mismos. Pero el futuro de la Administración no es cerrarlos (utilizando como excusa la protección), sino apertuarlos. Es por este motivo que aparece como una obligación importantísima e ineludible para la Administración mejorar la resiliencia de sus sistemas, porque la protección de toda la información, no solo de los datos confidenciales (y dentor de esto no solo los de carácter personal) está en juego, y porque evidentemente los datos y la misma producción documental electrónica tienden a aumentar exponencialmente. Pero eso no significa que los tengamos que guardar en un cofre pirata completamente cerrado. Claro está que determinados datos no son accesibles (¿sabemos cuáles?), por lo que debemos protegerlos junto con el mismo sistema. Cerrando la reflexión, es irrefutable que la clave presente y futura de la gestión documental electrónica es el eArchivo.
Por lo demás, no estamos diciendo nada nuevo que no venga ya reflejado, desde hace casi ocho años, en el Reglamento del Esquema Nacional de Seguridad, y hace más de dos, en las leyes de procedimiento y de régimen jurídico, en sus numerosas referencias al procedimiento y al archivo electrónico, disponiendo su necesaria adecuación al Esquema Nacional de Seguridad, y estableciendo medidas que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados.
Asegurada esa protección, no hay obstáculo alguno para dar rienda suelta a la transparencia, tanto en su vertiente de publicidad activa (los portales y la información en ellos contenida deben ser accesibles, interoperables y reutilizables), como en la de acceso, principalmente por medios electrónicos, a la información. Esta visión "electrónica" de la transparencia, nos adentra de pleno en la órbita del citado Esquema Nacional de Seguridad (ENS) y, por supuesto, lo que podríamos considerar su versión avanzada, la nueva normativa sobre protección (más bien tratamiento) de los datos, todo ello dentro de un nuevo extenso catálogo de derechos de los ciudadanos respecto de sus datos (ver infografía más abajo), superando los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), derechos que la Administración deberá hacer efectivos.
Este es un tema que afecta, y mucho, a las Entidades Locales. Señala Concepción Campos, en su fantástico blog, las 15 tareas que hacer en las EELL para adaptarse al RGPD, así como sus primeras impresiones del Anteproyecto LOPD, con 5 Aspectos claves para empezar.
Un Anteproyecto que, por lo demás, no supone una gran innovación normativa en tanto en cuanto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conocido como Reglamento General de Protección de datos (RGPD), se encuentra plenamente en vigor y, con o sin Ley nacional (recordemos que es un Reglamento y no una Directiva), será totalmente aplicable a partir del 25 de mayo de 2018. La nueva LOPD, eso sí, dotará de una mayor seguridad jurídica en la materia.
La fecha se acerca, por lo que parece sensato ponernos manos a la obra en el más que probable caso de que no estemos adaptados. Habrá ayuda. Como dimos cuenta el día de su salida (a través de Twitter), la Agencia Española de Protección de Datos publicó el documento El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales, en el que obviamente se corrobora de forma clara el citado impacto, apareciendo como tareas pendientes algunas inéditas, como la creación de un Registro de Actividades de Tratamiento o la designación de un Delegado de Protección de Datos (DPD), y otras recogidas en la normativa desde hace años, pero completamente ignoradas, esencialmente todo lo relativo a las medidas de seguridad del ENS.
De hecho el citado Registro de actividades del tratamiento se puede afirmar que de alguna manera sustituye al Documento de Seguridad que ¿tenemos aprobado? en cumplimiento del ENS. Reparte responsabilidades entre una serie de sujetos que deberemos identificar: responsable de seguridad, encargado del tratamiento, el aludido DPD… Este documento, que deberá integrarse con las medidas de seguridad, las políticas de seguridad, y la evaluación de impacto, no es obligatorio (pero sí conveniente) para las "empresas", entiéndase también "Entidades Públicas", de menos de 250 trabajadores.
Todo esto tiene que ver, también, con la firma electrónica y con la interoperabilidad (ENI); lo cual es tanto como decir que esto tiene que ver, y mucho, con la implantación del procedimiento electrónico (numerosas son también las alusiones en la Ley de procedimiento a la Ley de transparencia), y en este sentido véase:
- Cómo dotar de seguridad jurídica al proceso de implantación del procedimiento electrónico
- Seguridad en los equipos informáticos municipales y en los datos de las personas: LOPD, ENS y otras medidas
- Relaciones entre la Ley de procedimiento electrónico y la Ley de transparencia
- Las 10 conexiones entre administración electrónica y transparencia
- Informe del ransomware WannaCry con vacuna y medidas para su detección y desinfección
Y por todo ello, insistimos, la seguridad de la información no es lo contrario de la transparencia, sino su complemento natural. El derecho de acceso a la información, grosso modo, tiene dos dimensiones: el acceso del interesado a su expediente y el acceso de cualquier persona a la información del sector público. La protección de datos (y la confidencialidad, y la propiedad industrial, etc…) simplemente ponderan este acceso que debe tender a la universalidad. Lo que está protegido por la Ley son algunos datos, no la información. Los datos se deben ponderar, disociar… Los datos, según el Reglamento europeo y el Anteproyecto de Ley, se deben tratar. Cuidado con hacer demagogia con la protección de datos, porque nos cargamos el derecho de acceso, un derecho que en opinión nuestra y de muchos es fundamental. Cabría preguntar a algún jurista la diferencia entre dato e información…
Y cabría preguntar, visto que transparencia, protección de datos y administración electrónica, son tres caras (si ello fuera aritméticamente posible) de una misma moneda, si las Diputaciones tienen previsto ayudar a los Ayuntamientos a adaptarse al Reglamento (y a la futura Ley) de protección de datos.
Anexo. Documentación de interés:
- REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta altratamiento de datos personales y a la libre circulación de estos datos ypor el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (publicado en el Boletín Oficial de las Cortes Generales de 24 de noviembre de 2017).
- Noticia en El Confidencial: "Una sentencia europea pone los embargos de Hacienda al borde de la legalidad". Consultar noticia.
- Artículo "NOTAS DE URGENCIA SOBRE LA SENTENCIA DEL TRIBUNAL DE JUSTICIA DE LA UE DE 1 DE OCTUBRE DE 2015 Y SUS CONSECUENCIAS PARA EL MARCO EUROPEO DE INTEROPERABILIDAD". Por César Herrero.
- Sentencia de 6 de octubre de 2015, asunto C-362/14.
- Los "guardianes de los Tratados"
- El Reglamento de protección de datos en 12 preguntas.
- Guía
de Seguridad de las TIC CCN-STIC 803
#ENS. Valoración de los sistemas. Por CCN y Audertis. - Estrategia de Seguridad Nacional 2017
Documentos de la AEPD:
- El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales.
- Guía para el cumplimiento del deber de informar. Y en la misma línea:
- La importancia de la información por capas en el Reglamento General de Protección de Datos.
- Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD) – 2014.
- Consultar últimas resoluciones: http://www.agpd.es/