Una pregunta / dubte recurrent en el cas de les denúncies presentades per particulars davant l’administració pública: la persona denunciada, té dret a conèixer la identitat del denunciant? Posem-no en el lloc del denunciant en un cas d’incompliment d’una ordenança de convivència ciutadana, per exemple: si jo denuncio al meu veí, expert karateka, perquè no em deixa dormir a les nits, tindrà dret a saber que he estat jo el denunciant?

Com és sabut, qualsevol persona té dret a posar en coneixement de les administracions públiques competents l’incompliment d’una norma per part d’un altre ciutadà, sigui quin sigui l’àmbit o matèria. En alguns casos les administracions ens animen a col·laborar activament amb elles, sobretot per preservar drets de terceres persones, com seria el cas dels menors o de possibles víctimes de violència de gènere, o en defensa d’interessos col·lectius. Dos exemples, en aquest darrer sentit ho són les denúncies tributàries que ens proposa l’AEAT, desde lloc destacat de la seva pàgina web, i més recentment la nova Llei de salut pública que ho planteja com una obligació en termes una mica equívocs:

Artículo 9. Deber de comunicación.
1. Las personas que conozcan hechos, datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de la población los pondrán en conocimiento de las autoridades sanitarias, que velarán por la protección debida a los datos de carácter personal.

En qualsevol cas, interessa saber si tindrà el denunciat dret a conèixer la dada del denunciant. No és un tema menor perquè, entre altres qüestions que hi entren en joc, és evident que pot predisposar o condicionar la decisió de presentar denúncia. Des de la perspectiva de la persona denunciada es tracta d’aclarir si pot reivindicar el dret d’accés a tots els documents i dades que obren a l’expedient,  atès que ell (el denunciat) té la condició de persona interessada, documents i dades entre els que figurarien les dades del denunciant. Aquest dret d’accés permanent, i absolut, es reconeix a l’art. 35 de la Llei 30/1992 i 26 de la Llei 26/2010, del 3 d’agost, de règim jurídic i de procediment de les administracions públiques de Catalunya.

Convé repassar, en aquest punt, el Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora que diferencia entre actuacions prèvies i el procediment pròpiament dit, de manera que

Los procedimientos sancionadores se iniciarán siempre de oficio, por acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de orden superior, petición razonada de otros órganos o denuncia (…)

Així doncs, tot i que una denúncia pot ser l’origen de l’actuació de l’administració, en realitat no formaria part, pròpiament, del procediment. Els documents als quals podrà accedir i obtenir còpia el denunciat seran els generats per l’administració a partir del moment d’inici de les seves actuacions, atès que el seu dret d’accés es refereix als documents del procediment i no de l’expedient entès com unitat física de conservació dels documents. O sigui, encara que la denúnica figuri físicament a la mateixa “carpeta” no pot ser considerada part del procediment i no ha de ser accessible al denunciat.

En l’àmbit tributari, al qual ens referíem abans, la Llei General Tributària (art. 114) remarca aquest mateix esquema:

Mitjançant la denúncia pública es podran posar en coneixement de l’Administració tributària fets o situacions que puguin ser constitutius d’infraccions tributàries o tenir transcendència per a l’aplicació dels tributs (…) Un cop rebuda una denúncia, es remetrà a l’òrgan competent per dur a terme les actuacions que puguin escaure. Aquest òrgan podrà acordar l’arxivament de la denúncia quan aquesta es consideri infundada o quan no es concretin o identifiquin suficientment els fets o les persones denunciades. Es podran iniciar les actuacions que escaiguin si existeixen indicis suficients de veracitat en els fets imputats i aquests són desconeguts per a l’Administració tributària. En aquest cas, la denúncia no formarà part de l’expedient administratiu.

L’Agència Espanyola de Protecció de Dades, en diferents dictàmens i en la seva memòria anual de 2006, interpreta que assisteix al denunciant el dret a exigir confidencialitat, connectant d’alguna manera amb el dret d’oposició al tractament que reconeix l’article 17 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. També entén que, encara que el denunciant no s’hagi manifestat expressament en aquests termes, l’administració actuant si ho considera necessari pot decidir, discrecionalment, no comunicar al denunciat les dades personals del denunciant que poguessin figurar en els documents de les actuacions.

Aquesta aproximació superficial i limitada a un tema que és molt complexe permeten concloure que el denunciat no ha de conèixer necessàriament la identitat de qui denuncia perquè el document de la denúncia no forma part del conjunt de documents del procediment al qual ha de tenir accés el denunciat. En qualsevol cas l’exigència de confidencialitat del denunciant preval sobre l’interès del denunciat.

Protecció de dades Protecció de dades

Cada cap de setmana milers i milers de persones participen en proves esportives, ja siguin caminades populars, competicions atlètiques, curses de muntanya, proves ciclistes… i, en la immensa majoria de casos, tots els tràmits, des de la inscripció fins a la informació sobre els resultats o la publicació d’imatges de la prova, es fan per Internet. Com quasi tot a la vida, també això té una dimensió legal, en aquest cas molt important, amb diferents normes que hi incideixen directament o indirectament. Aquesta entrada del blog es centra en aquesta qüestió, en els principals aspectes legals a tenir presents en el tractament de les dades personals dels participants en una prova organitzada per un club o altre classe d’entitat privada, amb l’esperança que aquestes notes puguin servir d’orientació o aclarir dubtes als fantàstics organitzadors d’aquestes proves, quasi sempre possibles gràcies a l’esforç i la participació desinterassada de col·laboradors i voluntaris.

De qui és el lloc web? El lloc web propi del club o entitat que organitza la prova ha d’incloure informació visible sobre qui és el titular i responsable del lloc i del domini, així com del seu domicili social, codi d’identificació fiscal i altres dades de contacte. A Internet cal buscar i proporcionar tanta seguretat com sigui possible i en aquest cas es tracta d’evitar que algú pugui fer un frau simulant que organitza una prova.

Abans d’obrir la inscripció. Les dades de les persones que s’inscriguin seran recollides i tractades pel club o entitat organitzadora a fi i efecte de preparar els pitralls, verificar la identitat dels participants i fer un seguiment de la seva participació. Les dades s’integraran en un fitxer que s’hauria de declarar a l’Agència Espanyola de Protecció de Dades abans d’obrir la inscripció. La declaració del fitxer es pot efectuar per Internet tot utilitzant els formularis que trobareu en aquest enllaç. Una qüestió MOLT important: no és necessari declarar un fitxer per cada edició de la prova. És correcte declarar que el Club fa un tractament de dades de participants en les proves que organitza més o menys regularment, sense especificar el nom de la prova o l’edició. Declarant que es disposa d’un fitxer genèric de participants en les proves es compleix ja aquest primer requeriment.

La inscripció. En el moment de la inscripció es poden demanar tantes dades com sigui necessari per organitzar la prova, però no pas més. Per tant és correcte demanar les dades identificatives, domicili, telèfon, adreça electrònica, data de naixement (per determinar la categoria), si s’està federat… fins i tot la talla de la samarreta si és que n’hi ha una de regal, però en canvi s’ha de deixar com opcional, a omplir a criteri del participant, camps com ara el nom del club de pertinença o preguntes del tipus “assisteixes regularment a proves com aquesta”, o bé “com ens has conegut”.

Informació sobre el tractament de les dades. Ja sigui en el peu del formulari d’inscripció, o en una clàusula del reglament de la prova, o en algun altre text que pugui fàcilment, o inevitablement, llegir el participant, els organitzadors han d’informar de qui es fa responsable de les dades que s’obtenen, domicili social, telèfons i adreça_e de contacte, i de com adreçar-s’hi per a fer corregir les dades o per qualsevol incidència. S’ha d’informar també de forma clara de si es cediran a una altra entitat, o empresa comercial que sponsoritzi la prova, o a una asseguradora amb la que s’hagi concertat una assegurança especial, per exemple. En aquest moment és molt important informar també de que es difondrà la llista d’inscrits i els resultats final per internet, si és el cas. Encara que sembli obvi, la Llei obliga a fer aquest esforç informatiu per tal que tots els participants sàpiguen amb la màxima precisió possible què se’n farà de les seves dades.

Dues autoritzacions a demanar. Cal demanar autorització per utilitzar les dades dels participants per a convocar-los per a una nova edició de la prova. Que una persona s’hagi apuntat un any no vol dir que el poguem mantenir en un mailing informatiu. Caldrà preveure una casella perquè autoritzi o rebutgi aquesta possibilitat en el moment de fer la inscripció. D’altra banda, si l’organització vol publicar imatges de l’arribada dels participants, caldria també donar l’opció d’autoritzar-ho o de denegar el permís, igualment amb el sistema de marcar una casella.

El pagament. És absolutament aconsellable derivar el pagament cap a una plataforma de les que ofereixen les entitats bancàries, opció que allibera als organitzadors de tota responsabilitat en el tractament de les dades bancàries (núm de targeta o de compte corrent). S’estableix, en aquest cas, una relació entre el participant i l’entitat bancària. Un tema menys a resoldre per part dels organitzadors.

Certificats mèdics. En determinades proves s’exigeix la presentació d’un certificat mèdic. Únicament es pot exigir un certificat que declari que el participant és apte, sense entrar en altres detalls. Un cop revisat el certificat (normalment en el moment de retirar el pitrall) és preferible conservar-lo però únicament durant els dies immediats a la celebració de la prova.

 Atendre les reclamacions. Tant o més important que tot això que hem dit en els punts anteriors, ho és atendre les queixes o peticions dels participants en relació al tractament de les seves dades, per exemple corregir dades incorrectes, o acceptar la seva decisió de no seguir rebent informació de noves convocatòries, o la petició de que es retiri la seva fotografia arribant a la meta perquè ha arribat massa “demacrat”

I un darrer consell. Tant la pàgina que publiqui la llista d’inscrits com la que reproduirà els resultats s’haurien de preparar aplicant-hi instruccions per tal que no puguin ser indexades pels buscadors. D’aquesta manera tothom podrà accedir als resultats seguint el menú de la pàgina però en canvi si algú posa al buscador el nom de Josep Matas, per exemple, no necessàriament descobrirà que aquest participant va arribar ja fora de control

Protecció de dades Protecció de dades

Publicar les actes dels plens de l’Ajuntament a internet, es pot fer? I si hi ha dades de caràcter personal de particulars? Els hem de suprimir? Fa cosa de tres anys molts ajuntaments es plantejaven aquestes qüestions a resultes de la presa de posició sobre aquesta qüestió de l’Agència Catalana de Protecció de Dades (avui Autoritat Catalana de Protecció de Dades, en endavant APDCAT) clarament contrària a la publicació de les actes quan continguessin dades de caràcter personal de ciutadans. La pràctica iniciada per molts ajuntaments de difondre per mitjà d’internet els documents més importants de la seva actuació, com ho són les actes dels plens, es va veure afectada i posada en qüestió a partir de denúncies o queixes de ciutadans i sobretot a partir de la divulgació de la Recomanació 1/2008 de l’Agència Catalana de Protecció de Dades sobre la difusió d’Informació que contingui dades de caràcter personal a través d’Internet, d’abril de 2008. Aquesta Recomanació indicava en el seu apartat 18 que:

Respecte les actes de les sessions que tinguin caràcter públic, cal evitar-ne la difusió quan continguin dades de caràcter personal diferents a la identificació dels membres que en formen part, del funcionari que aixeca l’acta de la sessió o de les altres persones que hi intervenen per raó del seu càrrec, llevat que una llei ho autoritzi.

A criteri de l’APDCAT la normativa de règim local sobre publicitat dels acords no era suficient o no avalava expressament la publicació de dades de caràcter personal i caldria una norma expressa que n’autoritzés o en justiqfiqués la publicació. Segons l’article 11 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) una cessió o comunicació de dades, com ho és la publicació de les que figuren a les actes del ple de l’Ajuntament, es pot produir amb el consentiment de la persona afectada o bé quan una llei ho autoritzi (art. 11.2.b LOPD). Val a dir que aquesta no era exactament l’opinió de l’Agència Espanyola de Protecció de Dades (AEPD) que en diferents informes jurídics, entre els quals el de 20 de desembre de 2004 i el 0192/2008, havia manifestat que:

… únicamente sería conforme con lo dispuesto en la Ley Orgánica 15/1999 la comunicación de datos, mediante su inclusión en Internet, cuando dichos datos se refieran a actos debatidos en el Pleno de la Corporación o a disposiciones objeto de publicación en el correspondiente Boletín Oficial, dado que únicamente en estos supuestos la cesión se encontraría amparada, respectivamente, en una norma con rango de Ley o en el hecho de que los datos se encuentran incorporados a fuentes accesibles al público. En los restantes supuestos, y sin perjuicio de lo dispuesto en otras Leyes, la publicación únicamente sería posible si se contase con el consentimiento del interesado o si los datos no pudieran en ningún caso, vincularse con el propio interesado…

Aquestes diferències de criteri entre l’AEPD i l’APDCAT i l’opinió més taxativa d’aquesta segona que és, cal no oblidar-ho, la que té competència en matèria de tutela i inspecció del compliment de la LOPD per part dels ens locals, creaven dubtes als responsables dels ens locals. La Llei 29/2010, del 3 d’agost, de l’ús dels mitjans electrònics al sector públic de Catalunya, aprovada al final de l’anterior legislatura, inclou una referència expressa a aquesta qüestió. Diu l’art. 10 d’aquesta Llei:

2. Les entitats locals han de publicar en llur seu electrònica les actes de les sessions del ple. En llur publicació, s’han de tenir en compte els principis i les garanties que estableix la normativa de protecció de dades i la de protecció del dret a l’honor i a la intimitat. A aquests efectes, s’hi poden incloure dades de caràcter personal sense comptar amb el consentiment de la persona interessada, si es tracta de dades referents a actes debatuts al ple de la corporació o a disposicions objecte de publicació en el butlletí oficial corresponent. En la resta de supòsits, sens perjudici del que disposin altres lleis, la publicació únicament és possible si es compta amb el consentiment de la persona interessada o les dades no es poden, en cap cas, vincular amb la persona interessada mateixa.

A partir de la promulgació d’aquesta Llei es disposa d’una habilitació legal que dóna cobertura a la publicació de les actes encara que hi apareguin dades de caràcter personal. Quedaria superada la falta d’una norma habilitadora que segons opinió de l’APDCAT existia abans de l’aprovació de la Llei 29/2010. Sembla que el legislador català ha avolgut expressament resoldre aquesta qüestió assumint els postulats de l’Agència Espanyola i no pas els de la catalana, si bé hauria estat preferible inserir aquest precepte en la normativa de règim local que disposa precisament d’articles referits a la publicitat dels acords dels òrgans col·legiats.

En definitiva, han desaparegut els dubtes que es plantajaven al respecte d’aquesta qüestió de gran importància. La publicació d’actes amb dades de caràcter personal de particulars és correcte i és, de fet, obligatòria sempre i quan es prenguin en consideració els matisos que figuren en aquest article 10.2, del qual voldria comentar, per acabar, els tres punts següents.

• Les actes. Observem que es fa referència a la publicació de les actes i no pas dels acords. Els preceptes de la normativa de règim local, que feien referència només als acords, s’amplien considerablement. Ara han de ser objecte de publicació també els resums de les deliberacions.

• Actes debatuts. S’utilitza aquest curiós concepte d’”actes debatuts” que ja apareixia, com hem vist abans, en algun dels informes de l’AEPD i que només es pot interpretar en el sentit d’afers analitzats o punts de l’ordre del dia. En qualsevol cas fa referència a la deliberació prèvia a l’adopció d’acords. És important recordar que les actes no han de ser mai una transcripció literal de les intervencions sinó que han de recollir els “asuntos que examinen, opiniones sintetizadas de los grupos o miembros de la Corporación que hubiesen intervenido en las deliberaciones e incidencias de estas” (art. 109.1.g Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de organización, funcionamiento y régimen jurídico de las Entidades locales). En la redacció de l’acta el secretari o secretària de la Corporació haurà d’evitar recollir dades o informacions personals incloses incidentalment en les intervencions dels regidors però que no siguin substancials o necessàries per donar sentit a la seva intervenció. Destaquem aquest punt perquè el propi article 10.2 recorda que s’han de respectar els principis de la normativa de protecció de dades entre els quals figura el de qualitat inclòs a l’art. 4.1 LOPD: només es poden tractar les dades personals quan siguin adequades, pertinents i no excessives.

• A la seu electrònica. El lloc de publicació de les actes no pot ser un lloc web qualsevol de titularitat de l’ens local en qüestió sinó que haurà de ser la seu electrònica de la Corporació. Per tant ha de ser un lloc web que compleixi els requeriments en quant a creació, regulació, responsabilitats sobre els continguts, qualitat de la informació, seguretat i autenticitat que exigeix l’art 10 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

.

Administració electrònica, Internet, Protecció de dades Administració electrònica, Internet, Protecció de dades

Amb la Carme, bibliotecària infatigable, comentem un tema que estan debatent en un fòrum professional. ¿Cal ser molt estricte a l’hora d’exigir a un usuari la presentació del carnet de la biblioteca? Per exemple quan vol retirar un llibre en préstec. Es pot denegar el servei a qui no el presenti? N’hi ha prou si la persona s’identifica amb el DNI?

La identificació personal d’un ciutadà per obtenir un servei públic no és un tema menor. De les biblioteques la qüestió es pot traslladar a altres àmbits i serveis. Per un o altre motiu acabem col·leccionant carnets i targetes identificatives, de tota classe i finalitat. Per això la pregunta que ens fem amb la Carme ens porta a plantejar-nos si no estarem abusant d’aquest recurs. Més concretament, en el cas dels serveis públics, és justificat i lícit expedir i exigir un carnet específic, propi o exclusiu d’aquest servei? És correcte exigir-ne l’exhibició com a condició indispensable per gaudir d’aquest servei? Aporto alguns elements per anar-hi pensant.

En el cas de països on tots els ciutadans disposem d’un document oficial d’identitat (obligatori a l’Estat Espanyol a partir dels 14 anys), un carnet específic d’un servei públic pot tenir dues funcions. Per una banda la identificació de la persona i per l’altra la incorporació d’eines o recursos que atorguen determinades prestacions, com ara una banda magnètica, un xip o una etiqueta RFID. A l’era preinformàtica la primera funció, que és també l’original, tenia una gran importància. Només exhibint el carnet X es podia saber que tal persona podia accedir a unes instal·lacions, a un centre assistencial, etc. Avui l’usuari, titular del carnet, consta a la base de dades a la qual tenen accés els empleats de la piscina municipal o de la recepció del CAP, posem pel cas. En aquests casos, quan hi ha forma de verificar que una persona ha estat donada d’alta i figura en una relació d’usuaris, no sembla necessari recórrer a un altre document d’identificació personal que no sigui el DNI. Aquesta és, de fet, la funció del DNI i el que en justifica l’existència segon l’article 9 de la Llei Orgànica 1/1992, de 21 de febrer, sobre protecció de la seguretat ciutadana:

1. Todos los españoles tendrán derecho a que se les expida el Documento Nacional de Identidad, que gozará de la protección que a los documentos públicos y oficiales otorgan las Leyes, y que tendrá, por sí solo, suficiente valor para la acreditación de la identidad de las personas.

He subratllat la frase final perquè el seu enunciat obliga a relativitzar el paper dels carnets que són simplement identificatius que es puguin expedir des de serveis públics. Si una persona figura a una base de dades com a usuària donada d’alta amb dret a obtenir un servei, com és el cas de les biblioteques, i s’identifica amb el seu DNI que té “por sí solo” valor suficient per a identificar-la, sembla com a mínim discutible exigir-li una altra credencial. Si és que cal procedir a la identificació de l’usuari és adequat, o en qualsevol cas suficient, demanar que exhibeixi el DNI, pràctica expressament avalada per l’art. 2.2 del Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica. Aquest Reial Decret, en el seu article primer, reforça el valor i funció del DNI

1. El Documento Nacional de Identidad (…) goza de la protección que a los documentos públicos y oficiales otorgan las leyes (…)
2. Dicho Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.

A l’hora de verificar si una persona pot disposar d’un servei no hem de perdre de vista que allò que és essencial és identificar-la com a usuària i no si en aquell moment pot aportar un document en concret. La identificació es pot aconseguir amb el carnet de la biblioteca, el DNI, el carnet de conduir… o, com tantes vegades es fa a la pràctica, per la coneixença que es tenen el bibliotecari i l’usuari, sobretot quan aquest és un usuari habitual.

Un carnet específic d’identificació com a usuari d’un servei té tot el sentit quan no hi ha accés a la base de dades d’usuaris donats d’alta, com és el cas dels establiments que ofereixen descomptes als membres del Club Super 3 o als que disposen del Carnet Jove, o persones beneficiades per un descompte en el transport públic, o similars. Tal com dèiem en començar, un carnet té també molt de sentit quan incorpora recursos o eines indispensables per a obtenir un servei, com és el cas dels carnets universitaris expedits d’acord amb una entitat bancària i que es poden convertir en targetes de serveis financers, o el d’un carnet amb banda magnètica que serveixi per a donar accés a uns espais d’accés reservat, o un carnet del sistema de salut pública que en el futur pugui incorporar informació de la nostra història clínica, etc.

Els carnets específics d’usuaris d’un servei poden ser, per tant, necessaris, encara que no sempre. En la meva opinió s’haurien d’expedir només quan siguin imprescindibles. En qualsevol cas sembla clar que no són imprescindibles, no són l’únic sistema, per a identificar a l’usuari d’un servei públic. Recordem que les lleis promouen la simplificació dels tràmits administratius i reduir al mínim indispensable els tractaments de dades personals.  Els mínims carnets imprescindibles mentre avancem cap al somni de poder disposar d’una única credencial que ens permeti efectuar qualsevol tràmit o obtenir qualsevol servei.

Administració electrònica, Biblioteques Administració electrònica, Biblioteques, Protecció de dades

Com tanta altra gent ha fet i farà, vaig estar un temps intensament implicat en una AMPA, magnífica i recomanable experiència. D’entre els molts temes que correspon resoldre a una AMPA probablement l’últim en el que es pensa és el de la protecció de les dades de caràcter personal, vull dir el d’adequar l’Associació a aquesta normativa i treballar respectant-ne els seus principis. Una AMPA, per modesta que sigui, té personalitat jurídica pròpia i ha de complir també aquesta normativa i per això, pensant en els milers de persones que hi treballen desinteressadament, he redactat les breus notes que podeu llegir a continuació on es resumeixen els principals aspectes a prendre en consideració. Únicament pretenen donar una orientació general i ja que estem en un àmbit docent ho farem amb el sistema de pregunta / resposta.

Què ha de fer una AMPA per complir aquesta normativa?

Essencialment haurà de declarar els seus fitxers de dades, adoptar unes mesures de seguretat en el tractament de les dades personals, redactar un document amb els protocols de seguretat a seguir (Document de Seguretat) i informar a les persones de les que tracta dades de per a quines finalitats els tracta i dels drets que els corresponen.

Quines dades de l’AMPA queden afectades per la normativa de protecció de dades?

Sobretot les dades dels pares i mares associades i les dels seus fills. També es poden tractar dades d’altres pares, mares i alumnes que sense ser socis de l’AMPA puguin participar en activitats organitzades per l’Associació. Finalment potser hi haurà dades de persones que ofereixin serveis a l’AMPA, com poden ser monitors que es contractin, o conferenciants.

Què és això de declarar els fitxers?

Quan es tracten dades de persones físiques, com les esmentades en el punt anterior, de forma sistemàtica i organitzada entenem que aquestes dades constitueixen un fitxer que s’ha de declarar (notificar-ne l’existència) als ens que vetllen pel compliment de la normativa de protecció de dades.

Com i on declarar el fitxer?

Parlarem únicament del fitxer dels socis de l’Ampa, el de les dades de pares, mares i alumnes, que s’ha de declarar al Registre de fitxers privats de l’Autoritat Catalana de Protecció de Dades, tot utilitzant els formularis que trobareu per mitjà d’aquest enllaç. El formulari i la guia que els acompanya us indicarà la informació a consignar.

I això del Document de Seguretat…?

No és altra cosa que la descripció del fitxer o fitxers i de les mesures de seguretat que s’han d’adoptar en el tractament de les dades. El Document ha d’indicar, per exemple, on i com es custodia aquesta informació, qui hi accedeix, en el cas de les que estan en ordinadors quina classe de contrasenya s’utilitza i cada quan la renovem, com es fan les còpies de seguretat… Trobareu una guia orientativa per a redactar-lo, amb explicacions sobre el seu contingut i exemples, a aquesta pàgina del lloc web de l’Agència Espanyola de Protecció de Dades.

Des de l’Escola, en els tràmits de matrícula, inscripció… ens poden recollir les dades dels futurs socis? Podem demanar “que els apuntin”?

Serà de gran ajut que la direcció de l’Escola col·labori o afavoreixi la incorporació de nous socis. Pot proporcionar material informatiu de l’AMPA i els formularis d’inscripció, però els formularis, un cop plens, s’haurien d’adreçar directament a l’AMPA, dispositant-los en una bústia o similar d’ús exclusiu de l’AMPA.

Cal un formulari per donar d’alta un nou soci?

A més de facilitar la recollida de dades, el formulari permet complir l’obligació establerta a la Llei de protecció de dades (art. 5) d’informar als interessats (els pares i mares en aquest cas) del tractament de dades que es portarà a terme. El text ha d’indicar també que poden cancel·lar les seves dades, corregir-les, oposar-se al tractament o accedir-hi en qualsevol moment. Finalment cal informar de les cessions de les dades a altres entitats, per exemple indicar que algunes de les dades es comuniquen a entitats asseguradores amb les que es puguin concertar assegurances o a bancs o caixes a efecte de cobrament de quotes. És convenient custodiar aquests formularis i que estiguin degudament signats, a fi i efecte d’acreditar que s’ha complert amb aquesta exigència legal.

.

Pot semblar molt complicat però en realitat no ho és tant, sobretot si recorreu a l’ajuda de les guies i models que hem citat. Espero que tot plegat sigui d’utilitat encara que, abans de llançar-s’hi, sempre valdrà la pena repassar la llista de mares i pares associades i comprovar si hi ha algun o alguna advocat/da que vulgui donar un cop de mà.

Protecció de dades Protecció de dades

A les universitats s’està generalitzant la pràctica de divulgar les qualificacions obtingudes pels alumnes de manera total o parcialment anonimitzada, o sigui penjant una llista, ja sigui en el campus virtual o en una taula d’anuncis en els passadissos de les facultats, amb un codi, uns quants dígits del DNI o altre sistema que n’eviti el coneixement per part d’algú que no sigui l’interessat. S’està generalitzant però encara es poden veure les tradicionals llistes que incorporen el nom i cognom. D’altra banda, molts docents consideren necessari que les qualificacions obtingudes es facin públiques, dades identificatives incloses. Personalment estic en contra de divulgar-ho permetent que tothom sàpiga les notes dels altres i, de fet, ho considero contraproduent, fins i tot pedagògicament. Però, deixant de banda aquesta qüestió discutible i discutida, podem intentar aclarir almenys si és correcte fer-ho des del punt de vista legal.

Resumirem la qüestió indicant que “abans” es penjaven amb noms i cognoms tot i no ser legal, i ara s’està deixant de fer tot i que no seria ilegal. Aquesta pràctica va obtenir cobertura legal via disposició addicional 21 de la Llei Orgànica 4/2007, de 12 d’abril, per la que es va modificar la Llei Orgànica 6/2001, de 21 de desembre, d’universitats:

No será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación

La Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal demana que una comunicació de dades personals a un tercer, com ho és una qüalificació d’una prova, requereix o bé el consentiment de l’afectat o bé que una llei ho autoritzi, cosa que en aquest cas veiem que s’ha produït. En definitiva, les qualificacions no necessàriament han de ser publicades però poden ser publicades precedides de nom i cognom.

Dues o tres coses a tenir present per al cas de les universitats que optin per publicar-ho amb nom i cognom:

• Les llistes s’han d’exhibir en àmbits o espais reservats a alumnes i docents, o sigui a la intranet  accessible a aquests o en espais interns dels centres.
• Si les llistes es publiquen en paper en una taula d’anuncis, hauran d’estar protegides per evitar-ne la sostracció i fàcil divulgació.
• Finalment, publicar-ho d’una o d’altra manera no pot dependre de la voluntat de cada docent sinó que ha d’existir una pauta o criteri adoptat i aprovat per la universitat.

De fet, espero que aquestes tres condicions no hagin de ser preses en consideració, la qual cosa voldrà dir les universitats hauran optat per comunicar exclusivament a l’interessat la qualificació obtinguda.

Protecció de dades Protecció de dades, Universitats

Tenim dret a saber el nom i cognom del funcionari que ens està atenent? ¿Podem saber com es diu la persona que està al darrere de la finestreta, o del bibliotecari que ens apunta el llibre que retirem en préstec, o de l’inspector que ve a aixecar acta a la botiga a partir d’una denúncia? Es tracta d’un tema recurrent que recentment ha estat notícia per al cas de l’administració de justícia. El Consejo General del Poder Judicial acaba de manifestar que promourà la identificació de tots els funcionaris amb una targeta que permeti al ciutadà “saber amb qui està parlant”, una mesura que és una reacció a l’elevadíssim, i molt preocupant, nombre de queixes presentades pels ciutadans pel mal tracte rebut  d’aquest personal. No sabem encara si la tarja incorporarà exactament el nom, o bé un número o codi personal, com proposa algun sindicat.

La qüestió del nom és especialment important. Quan hi hi ha una norma específica que ho estableix, com  potser serà el cas dels funcionaris judicials, òbviament el tema queda resolt. Però, a falta de norma, ens han de dir el seu nom les persones que ens atenen? El tema no és menor, sobretot perquè són cada cop més els casos de funcionaris que reben amenaces per raó de la seva feina. Dir el nom és donar una informació a partir de la qual es pot acabar coneixent domicili i altres dades que formen part de la intimitat personal i familiar, un dret al que cap persona (tampoc el funcionari) pot renunciar.

En el cas del funcionari que instrueix un procediment, el ciutadà, l’interessat, té segons la llei efectivament dret a conèixer la identitat de la persona o autoritat que l’instrueix, d’acord amb l’art. 35 b. de la Llei 30/1992, per als procediments en general, i 135 de la mateixa norma per al cas d’expedients sancionadors.

Els cossos i forces de seguretat s’han d’identificar davant del ciutadà en les seves actuacions, però únicament amb el seu codi personal (número de placa) que, en el cas dels Mossos d’Esquadra un Decret de fa dos anys ha vingut a insistir que ha de figurar de forma ben visible en el seu uniforme.

Els professionals dels serveis socials tenen reconegut un cert “dret a l’anonimat” que malauradament es posa poc a la pràctica. En l’àmbit dels serveis socials bàsics, en la redacció dels seus informes i en les seves actuacions davant els usuaris, poden utilitzar un codi personal, i no pas el nom, sempre que prèviament l’ens públic per al qual treballen hagi creat un registre i els hagi assignat aquest codi. En el cas d’aquest col·lectiu és important que puguin treballar protegint el seu nom perquè és en aquests moments el que més amenaces rep a diari. Per això, amb molt bon criteri, l’art. 45 de la Llei 12/2007 de serveis socials ha establert que “l’administració competent en la gestió dels serveis socials pot adoptar, amb relació al seu personal, mesures destinades a protegir la identitat i les altres circumstàncies personals si cal per a complir les funcions encomanades i per a prestar correctament el servei”, un principi desenvolupat en el Decret 27/2003, de 21 de gener, de l’atenció social primària, que en el seu art. 18.5 estableix que “com a mesura de protecció dels professionals de serveis socials que intervenen en els diferents procediments administratius derivats de la prestació dels serveis socials d’atenció primària, l’ens local podrà assignar un codi identificatiu a cadascun dels professionals esmentats que substituirà les seves dades nominatives en els seus informes de diagnosi o en altres actuacions que realitzin de forma presencial, necessàries per a l’elaboració dels informes esmentats”. Tant de bo aquesta possibilitat  es materialitzés i es generalitzés.

En un altre sentit, qualsevol administració pública pot divulgar, si ho considera necessari, la dada del nom i cognoms, funcions i dades de contacte corporatives del seu personal, o sigui el seu directori. Aquestes dades queden excloses de l’àmbit de la normativa de protecció de dades (art. 2 del Reglament de la Llei Orgànica 15/1999) i per tant no es requereix el consentiment dels afectats per a fer-ne divulgació. Personalment considero que, excepte casos concrets, com pot ser el directori de professors d’una universitat, en general això només té sentit per al cas de persones que ocupen llocs de comandament.

I la tarja personal ben visible, o el nom a la taula, és finalment obligatori? No existeix cap norma que ho estableixi així. Ja hem vist que quan s’instrueix un procediment l’interessat efectivament té dret a conèixer aquesta dada, però aquest no és el cas de la relació puntual amb un funcionari que ens atén a l’oficina d’atenció al ciutadà, o al que li anem a pagar les contribcions, etc. Finalment, forma part de la capacitat d’autoregulació que cada ens públic té, la possibilitat d’establir un criteri al respecte. La identificació del funcionari òbviament ha de ser possible, especialment en cas de presentació de queixa o denúncia contra aquest, però personalment entenc que és innecessari i desproporcionat que sistemàticament hagin de proclamar el seu nom i cognoms a qualsevol que entri a les oficines públiques. En qualsevol cas és una mesura a valorar molt bé abans de prendre una decisió. Aquest és un aspecte en el que el dret a una administració de qualitat i propera al ciutadà pot entrar en contradicció, com ja hem dit, amb els drets personals dels funcionaris que, tots plegats, necessitem puguin fer la seva feina còmodament i amb criteris d’equitat, sense coaccions.

Protecció de dades Protecció de dades

Un col·legi electoral britànic al s. XIX

Diumenge vinent hi ha eleccions al Parlament de Catalunya i aquests dies les nostres bústies s’omplen de sobres que venen amb el nostre nom i adreça, amb propaganda electoral i amb els sobres i paperetes que cada partit ens convida a dipositar a l’urna, un petit allau que multiplicat per tots els electors (5.363.088 persones tenen dret a vot en aquesta ocasió) acaba essent un enorme volum  de  material que es llança a la paperera, sovint sense ni haver estat obert el sobre, una despesa de temps, de diners per als partits i de recursos que és francament incomprensible. Si multipliquem per vuit el nombre de sobres que cada elector rep acaben representant prop de 50 milions de sobres.

A EL PUNT d’avui he publicat un breu comentari sobre aquest anacrònic sistema de fer arribar informació als electors, comentari que podeu llegir  si us ve de gust des d’aquest enllaç. En el text faig referència, molt per sobre, a la possibilitat que s’hauria d’oferir als ciutadans a quedar exclosos sempre o en alguns casos del cens que es lliura als partits, un aspecte que m’agradaria argumentar ara amb més detall. Però serà millor que anem per parts i comencem explicant d’on treuen els partits les nostres dades.

L’article 41.5 de laLlei Orgànica 5/1985, de 19 de juny, del règim electoral general (LOREG) indica que

5. Los representantes de cada candidatura podrán obtener el día siguiente a la proclamación de candidaturas una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente ley.

La Llei no diu expressament que el cens electoral hagi de servir per enviar publicitat als domicilis dels electors però permet la utilització “para los fines previstos en la presente Ley”, finalitats entre les quals hi ha la publicitat electoral, de manera que en una interpretació més aviat generosa del que es pot fer amb aquest cens s’ha admès que acabi servint per fer els enviaments als domicilis, tot provocant aquesta despesa espectacular i innecessària de recursos.

Arribats a aquest punt seria molt d’agrair que la normativa es modifiqués de manera que l’Instituto Nacional de Estadística (INE) permetés als ciutadans si volen figurar o no en el cens a efectes de rebre publicitat electoral a casa. El cens l’han de rebre els partits, lògicament, però no costaria res sotmetre a la consideració de cada ciutadà aquesta qüestió, ja sigui via postal o des del lloc web de l’INE. Per aquesta segona via l’INE ja permet consultar les dades censals des de la seva seu electrònica, prèvia identificació de l’interessat amb certificat electrònic. Una modificació de la normativa que habilités aquest nou tràmit i que permetés a cada ciutadà marcar l’opció de no figurar a la llista a efectes d’enviament de propaganda seria ben fàcil de materialitzar i acabaria comportant beneficis per a tothom.

Mentre això no arribi haurem d’anar pensant com reciclar tant de paper. Encendre l’estufa o la llar de foc amb determinades paperetes? Blocs de notes darrere d’altres? La papiroflèxia?

Protecció de dades Eleccions, Protecció de dades

Aquests dies es confirma que les eleccions al Parlament de Catalunya seran ben entrat el novembre, amb la qual cosa el Parlament podrà celebrar encara un Ple que molt probablement permetrà aprovar la llei que ha de refundar l’Agència Catalana de Protecció de Dades. El projecte de Llei va entrar al Parlament l’octubre de l’any passat i pràcticament es troba al final del seu recorregut (podeu consultar els tràmits clicant aquí). Amb el pretext de donar compliment a l’art. 156.d) de l’Estatut d’Autonomia de Catalunya, aquesta nova norma permetrà redefinir i reafirmar les funcions així com reforçar el rol i la independència de la fins avui Agència i a partir d’aviat Autoritat.

Dels diferents aspectes que planteja el text en la seva redacció actual, m’interessa fer referència a les funcions que s’atribueixen a l’Agència/Autoritat en un àmbit en el que fins ara no en tenia. com ho és el de l’accés a la informació del sector públic català. Més enllà de l’accés a les dades personals per part del propi interessat o afectat, aspecte sobre el que ja incidia fins avui l’Agència, ara l’article 5 (inicialment 10) del projecte de Llei diu que correspondran a l’Autoritat, entre altres, les funcions de:

c) Promoure, en l’àmbit de les seves competències, la divulgació dels drets de les persones amb relació a la protecció de dades i l’accés a la informació, i l’avaluació de l’impacte sobre la privacitat.
…
e) Dictar, sens perjudici de les competències d’altres òrgans i institucions, les instruccions i les recomanacions en matèria de protecció de dades de caràcter personal i d’accés a la informació.

L’enunciat de la lletra e) no ha variat en relació als esborranys anteriors, però en canvi en  textos anteriors el de la lletra c) no figurava l’esment a l’accés a la informació, amb la qual cosa es reafirma o es clarifica que efectivament la nova Autoritat actuarà en relació al dret d’accés dels ciutadans a la informació pública.

¿Correspon a una Agència de Protecció de Dades vetllar pel compliment del dret d’accés a la informació pública encara que la informació no contingui dades personals? A l’hora de decidir quin tipus d’ens o autoritat ha d’actuar en relació al dret d’accés a la informació pública trobarem arguments vàlids que permeten arribar a diferents solucions pcada una amb els seus avantatges i inconvenients. La futura llei estatal de transparència s’orienta precisament cap atorgar aquesta funció a l’Agència Espanyola de Protecció de Dades, segons epodem endevinar per les informacions que han arribat als mitjans, camí que sembla voler seguir, encara que dient-ho amb la boca petita, el legislador català.

Sigui quin sigui l’ens que hagi d’actuar en la promoció i salvaguarda del dret d’accés, tan important en una societat democràtica, sembla indiscutible que s’ha de fer en base a una llei que reguli amb detall aquest dret, una llei que en el cas de la informació de les administracions catalanes ha de ser forçosament una llei autonòmica. Les funcions  sobre accés a la informació que hagi de tenir l’Autoritat de Protecció de Dades, si és el cas, necessiten estar ben fonamentades en un bon text que el reguli i estableixi criteris i procediments. No pot ser que al final aquest dret entri en el nostre ordenament pel forat de la gatera. A veure si els partits polítics incorporen el tema en els seus programes electorals que és de suposar deuen estar preparant.

Accés a la informació, Informació pública, Protecció de dades Dret d'accés, Protecció de dades

Facebook és notícia a diari. Són constants i importants les notícies que es generen des de dins o al voltant d’aquesta xarxa, cosa ben lògica atès que és el punt de trobada de 500 milions de persones, i el “lloc” on hi passa quasi de tot. L’última, o potser ja la penúltima, notícia que afecta Facebook és la iniciativa del Govern d’Alemanya de prohibir, per mitjà d’una Llei, la utilització de la informació personal que els usuaris pugen a les xarxes socials, no només a Facebook, en el procés de contractació d’una persona. Serà aquesta, en cas d’aprovar-se finalment, una Llei no aplicada, sense efectes directes. És sabut que des de fa molt de temps les oficines de “head hunters” o els departaments de RRHH de les empreses cerquen a qualsevol lloc d’Internet incloses les xarxes socials, informació dels candidats a un lloc de treball, i ho seguiran fent, hi hagi o no una Llei que ho prohibeixi. Revisant protocols de treball de nombroses empreses he pogut constatar que efectivament aquesta és una pràctica ja absolutament habitual, i considerada normal i, erròniament, lícita. He conegut dos casos en el que el futur empleador intentava fer-se amic al Facebook del potencial empleat per accedir a tota la seva informació i obtenir un perfil del candidat. Evidentment podia acabar essent més determinant aquesta informació que no pas la que figura en un fred i asèptic curriculum vitae.

Personalment considero aquesta iniciativa absolutament innecessària, principalment perquè la normativa europea de protecció de dades, i les respectives lleis nacionals sobre la matèria, prohibeixen ja aquesta pràctica, de manera que avui es pot perseguir i sancionar a qualsevol empresa que, sense el consentiment de la persona afectada, tracti (no cal ni que els enregistri) dades i informacions personals extretes d’aquests espais creats per a connectar amb amics, o companys d’aficions… en processos selectius, o de gestió del personal. La qüestió, com és ben evident, no és que estigui prohibit per una o per dues lleis sinó com provar que aquesta o altra informació ha estat determinant en una decisió com la provisió d’un lloc de treball. Des d’una altra perspectiva, em sembla una Llei paternalista en el sentit que no es tracta tant d’insistir en la prohibició d’aquesta pràctica, i recordar que pot haver sanció administrativa, sinó de fomentar la responsabilitat de cada usuari.

Una iniciativa que entenc innecessària i, deia abans, que no tindrà efectes directes, perquè evidentment aquesta pràctica seguirà portant-se a terme i segurament amb eines cada cop més potents i sofisticades. No obstant, probablement tindrà un efecte indirecte sobre el que és efectivament la clau de la qüestió: la responsabilitat i la maduresa de l’usuari. Amb una mica de sort tindrà l’efecte indirecte d’ajudar a fer veure la importància d’extremar els criteris sobre el grau de publicitat que cal donar a la informació que pugem a la xarxa, on un amic no és necessàriament un amic.

Internet, Protecció de dades Internet, Protecció de dades, Xarxes socials