Tecnología, protección de datos y Administraciones Públicas (parte I)

Las AA. PP han tenido que adaptar su forma de trabajar a las nuevas tecnologías y lo han hecho de la mejor manera posible en la relación que mantienen con los interesados, tratando de reducir tiempo y costes, facilitando su accesibilidad y simplificando trámites. El uso de las tecnologías de la información, de su parte, estarán guiadas bajo la vocación de servicio público. No obstante, todos los tratamientos de datos personales que realizan contienen unos riesgos característicos definidos por la cantidad de datos personales que recogen, el gran volumen de interesados afectados, la imposibilidad de oponerse al tratamiento que ocurre en ciertos casos, así como el claro desequilibrio entre los ciudadanos y las AA.PP. Hablamos, por tanto, de la Administración Digital.

La Agencia Española de Protección de datos (en adelante AEPD) ha publicado a finales de noviembre del año pasado la guía Tecnologías y Protección de datos en las Administraciones Públicas donde estudia al detalle algunas de las tecnologías que aplica la Administración pública (en adelante, AA.PP) analizando los riesgos inherentes a cada una de ellas en cuanto a protección de datos se refiere y las medidas de seguridad que deben ser garantizadas por aquellas. La guía analiza cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smart cities aunque no descarta seguir extendiendo su análisis en versiones posteriores, a otras tecnologías emergentes.

Esta Administración Digital proporciona mecanismos avanzados que implementa tanto en los servicios que nos ofrecen como en su propio funcionamiento interno. Dichos servicios, en muchas ocasiones son tratamientos de datos personales que incorporando una o varias tecnologías aportan eficacia, eficiencia, disponibilidad, interoperabilidad… entre otras ganancias.

Las AA. PP no pueden dejar a un lado el derecho a la protección de datos personales. El cumplimiento de esta normativa en el ámbito de su competencia, hace a los organismos públicos responsables del tratamiento de los datos personales de los administrados, debiendo identificar los riesgos a los que puede estar expuesto el tratamiento y empleando las medidas técnicas y organizativas necesarias en cada situación, mitigando los daños que pudieran derivarse,  garantizando los derechos de los ciudadanos así como el cumplimiento de los principios exigidos en el Reglamento General de Protección de Datos (en adelante, RGPD) y en la Ley Orgánica de Protección de Datos española (LOPDGDD).

Es evidente que no existe el riesgo cero. Éste no es un parámetro fijo que perdure en el mismo estado si no que tiende a evolucionar de forma continua como consecuencia del progreso del entorno. Así las cosas, es por lo que una vez que se identifique, se exija al responsable un esfuerzo de supervisión constante y de gestión permanente sobre dicho riesgo. La posición correcta es conocer el riesgo, evaluar sus consecuencias, tomar medidas para reducirlo y controlar sus modificaciones en un contexto variable, el conjunto es lo que se define como gestión del riesgo.

Por todo ello, es por lo que la AEPD decide repasar una serie de tecnologías que se han adherido al día a día de las AA. PP como modo y sustento de los diferentes tratamientos de datos personales que se llevan a cabo, haciendo hincapié en dicha edición en las tecnologías más utilizadas por aquellas en la actualidad. Para cada una de ellas se facilita una breve descripción, cuál es su propósito y funcionamiento señalando algunas particularidades cuando las tecnologías se incorporan a un tratamiento en el ámbito de las AA.PP. Además, también se determinarán algunos de los posibles riesgos asociados a cada tecnología teniendo en cuenta que algunos de ellos serán comunes.

En este artículo analizaremos las cookies y otras técnicas de seguimiento y las redes sociales como tecnologías que aplican las AA.PP.

USO DE COOKIES POR LAS AA. PP

En primer lugar, decir que, con el uso masivo de Internet, se vio la oportunidad por parte de las entidades, de conocer cuáles eran los sitios más visitados por los usuarios, qué preferencias y gustos tenían, si se habían registrado en la página web y desde dónde habían llegado…etc. Pues bien, simplificando, esto es lo que permiten las cookies, que los responsables de los portales web sepan qué paginas interesan a los usuarios para obtener estadísticas y tomar decisiones conforme a ellas. En definitiva, es una estrategia utilizada por los servidores para recopilar información del dispositivo de un usuario, tratando sus datos personales, desde el momento en que navega a través de internet.

El uso de las cookies viene recogido en el art 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI) y detrás de la denominación de cookies podemos encontrar muchas técnicas que permiten el seguimiento de los usuarios de forma activa o pasiva, elaborando perfiles y muchas veces de forma poco transparente. Los criterios de la AEPD para la adecuación a la normativa sobre cookies por parte de los prestadores de servicios de la sociedad de la información los encontramos en la Guía sobre el uso de las cookies. Ahora nos centraremos en las peculiaridades de las AA. PP en la utilización de estas técnicas.

Debemos conocer que tal y como describe el Ministerio de Asuntos Económicos y Agenda Digital, “En general, la LSSI no se aplica a las Administraciones Públicas, puesto que éstas no tienen el carácter de prestador de servicios de la sociedad de la información definido en su anexo”. Así, actividades como la gestión electrónica de la recaudación de tributos se consideran actividades públicas o de interés general distintas de la «actividad económica» a la que se refiere la LSSI. Sin embargo, cuando la actividad de una Administración sí contenga un carácter económico, por ejemplo, la venta de entradas de un espectáculo realizado por una entidad pública le será plenamente aplicable la LSSI.

Ahora bien, siempre que se incluyan en las páginas de las AA. PP, cookies de terceros o cuando se proporcionen los medios que permitan el tratamiento de datos personales por terceros, aquellas han de ser diligentes a la hora de identificar dichos tratamientos y de garantizar que se cumplan los deberes de información y obtención del consentimiento de los usuarios. No obstante, en cualquier caso, aunque las AA. PP no estén obligada al cumplimiento de la LSSI, siempre que el tratamiento realizado a través de las cookies conlleve datos de carácter personal, estará plenamente sometido al RGPD y a toda la normativa de protección de datos aplicable.

Por otro lado, en caso alguno, el rechazo al uso de las cookies no imprescindibles para la utilización del servicio puede entrañar un impedimento en el acceso al portal de la Administración en cuestión, ni mucho menos limitar el ejercicio de derechos y libertades de los interesados.

En cuanto al principal riesgo en el uso de cookies u otras tecnologías de seguimiento, es el incumplimiento del principio de minimización de datos, es decir, que realmente se recopile más información personal de la necesaria para el propósito del tratamiento en sí, ya sea directa, indirectamente o a través de terceros. Para gestionar el control de dichos riesgos se recomienda realizar auditorías para conocer el tipo de datos tratados, el destino del tráfico generado por las aplicaciones, el grado de vinculación de la información con las operaciones del usuario en las AA. PP… así como el análisis de cualquier efecto colateral que pudiera recaer sobre el administrado.

REDES SOCIALES Y AA. PP

En segundo lugar, las redes sociales, uno de los canales de información de Internet más usados en la actualidad. Los usuarios han descubierto en esta tecnología un canal rápido, sencillo y fácilmente accesible en el que se comparten publicaciones, se emiten diferentes contenidos, se socializa con otras personas e incluso se ofrece como escaparate para la venta de productos o servicios.

En lo que respecta a los datos personales tratados en la interacción con la red social, hay que destacar que no sólo se trata información asociada al perfil del usuario que accede a la red (que previamente ha facilitado al registrarse), sino también la generada en la propia interacción con el contenido publicado (dependiendo de la red social podrá ser “me gusta”, iconos de reacción, etiquetas de clasificación, reenvíos comentarios, etc.) además de información general de navegación que incluye páginas visitadas, direcciones IP, información de localización, cookies… entre otras.

La relación de las AA. PP con las redes sociales supone un tratamiento de datos personales que debe cumplir con los parámetros establecidos por el RGPD siendo un entorno que no está pensado inicialmente para un uso administrativo. La forma más conocida que toma es la presencia de perfiles ‘oficiales’ de los organismos en redes sociales. Las AA. PP pueden utilizar las redes de manera interna con canales cerrados pensados para los empleados como una evolución de las intranets corporativas y un método de comunicación informal sin ser muchas veces conscientes de los riesgos que entraña la publicación de opiniones o comentarios que podrían pasar malintencionamente como oficiales.

Por otro lado, las AA. PP pueden ofrecer información y servicios a los ciudadanos a través de las redes sociales siempre y cuando para ello, no se les obligue a contar con un perfil en dicha red social. Recordemos que en la medida en que estas redes realizan tratamientos de datos personales basados en el consentimiento, éste debe ser informado, específico, libre e inequívoco además de no prestarse en condiciones en las que exista un claro desequilibrio entre el interesado y el responsable del tratamiento. Además, el organismo debe facilitar una política de comunicación en redes sociales, reflejando aspectos de la política de protección de datos como: una responsabilidad clara y embebida dentro de la cadena de responsabilidades, un documento informativo de uso de la red social para los empleados públicos, información adecuada para la publicación de contenidos … etc.

Ahora bien, una vez que se ha diseñado la red social conforme a la normativa en protección de datos es necesario examinar los riesgos que para los derechos y libertades de los ciudadanos se pueden derivar, con el fin de llevar a cabo la gestión adecuada de los mismos. Uno de ellos es la aplicación incorrecta de las políticas de comunicación con la consiguiente revelación de datos personales de forma indeseada tanto de administrados como de empleados. Para reducir el riesgo es necesaria la descripción de una política interna clara y conocida por el personal sobre las implicaciones y consecuencias de la participación en redes sociales además de una revisión periódica y de un control adecuado de los contenidos.

Por último, hay que ser consciente de que las técnicas actuales no siempre permiten determinar realmente que el usuario pueda ser un menor de edad, en especial hacemos inciso en el art 8 del RGPD relativo al consentimiento de los niños en relación con la sociedad de los servicios de la información. Habrá que evaluar el riesgo que esto supone con relación al tipo de contenidos que se están proporcionando a través de la red y, en función de este riesgo, acordar procedimientos adicionales, como por ejemplo, la doble verificación, para la comprobación más precisa de la edad de los usuarios.