Lo primero que debo decir es que no soy experta en protección de datos ni mucho menos, pero  me ha sido profundamente clarificador el artículo publicado por  Emilio Guichot sobre este tema.  Creo que es fundada la sensación de extrañeza  que me produce ver como los NIF de los opositores o de beneficiarios de subvenciones son velados parcialmente cuando se publican resoluciones de adjudicación o relaciones de aprobados y sin embargo cada vez con más frecuencia se publican en  distintas sedes electrónicas documentos firmados electrónicamente en los que puedo ver los NIF de alcaldes, Secretarios de Corporaciones Locales, Directores Generales o Jefes de Servicio Jurídico…

En mi opinión este fenómeno se produce por una aplicación monopolisitica y sin excepciones (para todos y para todo) de la firma de empleado publico basada en certificado electrónico (la denominada firma digital). Este dato, el DNI del firmante, aparece siempre (si no en la impresión del documento si en el panel de firma). Por tanto si el ciudadano accede a un expediente puede conocer el DNI del instructor de su expediente, del servicio juridico que le informa su recurso o del interventor que pone un reparo suspensivo al mismo etc…

¿Es relevante ese dato para el ciudadano?En mi opinión no. Al ciudadano no le interesa saber la identificación personal del funcionario si no qué lugar ocupa en la Administracion en nombre de la que ejerce esa potestad que le afecta.

Por eso nunca se ha incluido el DNI en las resoluciones por las que nos concedían una subvención o imponían una sanción: Tampoco el NIF se ha publicado en el nombramiento de altos cargos del Estado o autonómicos, ni de los Presidentes de Comunidad Autónoma que se publican en el BOE.

Pero antes de la administración electrónica, ¿Qué nos permitía confiar en la veracidad de esa resolución o decreto?

  • En el caso de concesiones, sanciones o actos notificados: El papel con el escudo del Ministerio, Consejería Ayuntamiento o Diputación  correspondiente hacían presumir que el acto en el que se había materializado era emanado por esa organización (un funcionario o autoridad tiene acceso a la dependencias donde está el papel con el logo )
  • En los boletines oficiales pasa lo mismo: la  publicación de una norma o acto presume que ha habido un empleado o autoridad pública que ha comprobado la identidad del nombrado y está autorizado en un procedimiento de remisión para publicación de normas en dicho Diario.

De repente las implantaciones del proceso electrónico hacen que caigan todas esas presunciones y reclamamos un tercero de confianza (las entidades que prestan servicios de confianza que emiten esos certificados) que nos diga quien es quien.

Este giro extremista se da  por una errónea interpretación de la dicción del articulo 3 de la ley de firma en el ámbito de las AAPP (en el sector privado desde luego no ha imperado esta interpretación) “La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel» que ha llevado a pensar que todo acto firmado de forma manuscrita debe ser firmado con firma reconocida cuando no es esa la finalidad de este articulo sino establecer un régimen de carga de la prueba que se complementa con el 326. 2 de la LEC (si un interesado impugna una firma reconocida igual que en caso de una firma manuscrita esta obligado a aportar la carga de la prueba)

En el caso de utilizar una firma de empleado o autoridad pública con un método alternativo a la firma electrónica reconocida y en el hipotético (y extrañisimo) caso que la repudie, será la administración la que deba aportar la carga de la prueba. Pero en este caso la administración tiene muchas facilidades para dirimir la autenticidad de una firma ya que posee muchas evidencias complementarias del hecho de la firma. La administración conoce el ordenador desde el que se realizó la firma, si el funcionario accedió al ordenador del trabajo ese día (fichaje) , si se conectó a su ordenador, si tiene acceso a la aplicación que permite firmar ese trámite, etc. Estas cuestiones hacen que el reforzamiento de la firma reconocida (ahora cualificada) no tenga demasiado sentido.

Entidades como la AEAT, Tributos de CLM, o la Intervencion General de CLM o de Cataluña no se  han enfrentado a ese problema de Proteccion de Datos puesto que han optado por vias alternativas de firma en las que se aprovecha las herramientas de una organización para identificar y auditar las acciones de sus empleados (del mismo modo que se les daba acceso al papel sellado). No necesitan a ese tercero para que les diga quién es su empleado en todo acto en el que intervenga.

En estos sistemas la AAPP es quien garantiza que determinado tramite u acto ha sido firmado por un usuario del sistema y se le superpone un sello de órgano basado en certificado cualificado (tal y como habilita el 45.2 de la LRJSP Con el fin de favorecer la interoperabilidad y posibilitar la verificación automática de la firma electrónica de los documentos electrónicos, cuando una Administración utilice sistemas de firma electrónica distintos de aquellos basados en certificado electrónico reconocido o cualificado, ….podrá superponer un sello electrónico basado en un certificado electrónico reconocido o cualificado )  El ciudadano lo que ve es lo que le interesa, nada más (NOMBRE Y APELLIDOS+CARGO QUE OCUPA+SELLO QUE IDENTIFICA LA AAPP ACTUANTE)

En definitiva, se trata de basar la firma en la actuación de un empleado público en los distintos tramitadores de expedientes en los que esté autorizado, dejando las soluciones tipo portafirmas electrónicos como residuales. Porque debemos aprovechar los recursos que ofrece la legislación para hacernos de la presunción de legitimidad y que el cambio de formato a electrónico no suprime sino que refuerza (son infinidad los “rastros digitales” que tiene una organización respecto de sus empleados). Estos sistemas pueden ser de lo más variado, pongo ejemplos a continuación:

  • El CSV +Sello cualificado , sistema de firma que solo se genera si un funcionario identificado en un sistema da “click” a firmar +SELLO (interoperabilidad/integridad/atribución al organismo=autoria departamental).. el sello de órgano si puede ser «comparable » al sello de caucho, añadiendo los atributos de interoperabilidad e integridad . Sistema utilizadisimo por la AEAT que presenta la ventaja en épocas transitorias de dar valor autentico a la copia impresa de ese documento. Y si, esta es la ultima de las ventajas del CSV a las que me referia en el post anterior
  • Identificación en sistema+ sello. En la Intervención General de la Generalitat de Cataluña utilizan un sistema de firma muy interesante. Una vez identificado con tarjeta criptográfica para acceder en el sistema, se  le permitirá firmar informes de fiscalización una vez de click en firmar  pero no firmara con su certificado sino lo que se superpone es un sello de órgano
  • Pueden realizarse muchas otras, la que para mi será la firma del futuro (presente en la privada), la firma de evidencias: un empleado identificado con un elemento biométrico (lo que soy) accede al gestor de contratación (por ejemplo) y da al botón firmar, lo que generará el correspondiente documento en el que el sistema lo identifica y le superpone el sello de órgano cualificado.

He podido observar que algunas AAPP ya deben tener cierta preocupación por este tema y optan por soluciones carísimas, complejas y con eficacia bastante limitada: se publica una copia en la que se identifica a los firmantes, los puestos (e incluso  número de serie del certificado!! ¿?), se le superpone un csv , (e incluso algunos que ese CSV que no es verificable en sede) y asi evitan que se  acceda a los datos de certificado al menos de primeras.. Todas estas cautelas serán inútiles porque si el ciudadano exige acceder al original verá ese dato que se intenta ocultar. El nivel de complejidad que le estamos añadiendo a la gestión electrónica hace que adoptemos soluciones caras y poco eficientes.

Se trata de simplificar, cojamos las opciones más sencillas, permitidas por la ley, contrastadas por la experiencia, no demos tantos rodeos (y tan caros) para llegar al mismo sitio ( o quedarte atrás) Quizás organizaciones como la AEAT no solo es que tengan mas asignaciones presupuestarias que la mayoría, quizás es que adoptan soluciones mas eficientes y eficaces…todo puede mejorar.

¿Y quién protege los datos personales de los empleados y autoridades públicas?
Avatar

Matilde Castellanos Garijo


Funcionaria Cuerpo Superior de Comunidad Autónoma,Especialidad Jurídica, Máster en Dirección Publica y en Dirección TIC. Desde los inicios de mi etapa profesional he estado, sin saberlo, ligada a procesos de innovación publica. Así, participé en la puesta en marcha del Portal del Empleado y Concurso de traslados on line, Diario Oficial de Castilla La Mancha Electrónico...nunca he abandonado la búsqueda de mejorar los servicios públicos. Desde el 2008 trabajo ligada al ámbito económico financiero en el que he participado en la implantación de la Factura electrónica así como la firma electrónica en el sistema económico financiero. Soy docente en cursos de la Escuela de Administración Regional en los que intento transmitir el entusiasmo por la innovación y mejora en todos los ámbitos de la Administración Pública.


Post navigation


2 thoughts on “¿Y quién protege los datos personales de los empleados y autoridades públicas?

  1. Lo que subyace no es que el ciudadano esté mas protegido que el funcionario en cuanto a ocultar su DNI. La situación puede llevarnos a engaño, pero es otra.
    El ciudadano firma de forma ‘nuda’, desnuda, por ser. Se representa a si mismo. No hay dualidad de actuación.
    Y el funcionario, pero no lo olvidemos, también cualquier representante de empresa tienes dos roles. El ‘nudo’ y el de por razón de cargo.
    Lo que hay que establecer es si debemos tener dos tipos de aparataje de firma. La que permite plasmarla ‘salidos de la ducha’ y la que realizamos investidos de elementos de ‘potestas’ que no es permanente, sino transitoria. Este es el jaleo.
    El anonimato externo ha sido resuelto para los Cuerpos y Fuerzas de Seguridad del Estado con la asignación de un número, que portan en su placa de identificación. Y en grande, en los chalecos que se ponen en casos de operaciones especiales. Se desea tener identificado al agente, por autoridad interpuesta.
    La decisión es:
    • Dotar al funcionario de certificado de seudónimo unido a su nombramiento
    • Que deje traza de su voluntad de resolver mediante CSV que se complementa con sello de Órgano
    • Suprimir la firma de persona física en todo documento ‘laboral’ (expedido por funcionario o por responsable de empresa) y que os documentos a los que den origen se firmen con sello del Organismo o de la Sociedad? Está es similar a la anterior ya que hay que llevar traza de quien lo utilizó, que termina siendo el CSV
    ¿Qué piensan?

  2. El seudónimo en mi opinión se regula por la ley para otros supuestos. El ciudadano tiene derecho a identificar al funcionario actuante, pero no de forma tan intima. Es exhorbitado. Lo de poner en mismo plano Administraciones y empresas tampoco lo veo: El CEO de mi empresa lo eligen los ciudadanos. Los nombramientos de nuestros directivos son publicados en los boletines oficiales. Los trabajadores los son de por vida. La administración tiene unas potestades y la tecnología no las puede fulminar. Me quedo con la segunda opción y medito sobre la tercera. Gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *