135
Protección de Datos
BUENAS PRACTICAS
Los nuevos sistemas de verificación de datos
SE CUMPLE EL OBJETIVO DE SUSTITUIR LA ENTREGA DE FOTOCOPIAS DEL DNI Y CERTIFICADOS DE EMPADRONAMIENTO POR LA INVOCACIÓN DE SERVICIOS WEB… ¡SIEMPRE QUE CONSIENTA EL CIUDADANO!
simplificar los procedimientos Pedro Serrera Cobos
DIRECTOR DEL CENTRO DE SISTEMAS DE INFORMACIÓN Fraternidad Mupresa
características técnicas y los procedimientos de uso de los dos Sistemas de Verificación de Datos respectivamente. Desde un punto de vista de protección de datos personales y LOPD, nos encontramos en un caso claro de cesión de datos personales del interesado por parte de los dos responsables del fichero (la Dirección General de la Policía para la base de datos de documentos identificativos,
administrativos con las Administraciones Públicas. Ya en ambos RD se anunciaban los instrumentos a través de los cuales se haría efectiva esta posibilidad: los Sistemas de Verificación de Datos de Identidad / Residencia respectivamente. Pero los dos RD pasaron un tanto desapercibidos para
Estado es una de las prioridades del Gobierno”. Con esta frase comienza el Real Decreto 522/2006, de 28 de abril, por el que se suprime la aportación de fotocopias de documentos de identidad (DNI y tarjeta de residente para extranjeros) en los procedimientos administrativos de la Administración General del Estado. En paralelo, el Real Decreto 523/2006, también de 28 de abril, suprime la exigencia de aportar el certificado de empadronamiento como documento probatorio del domicilio y residencia. De esta forma y gracias a las nuevas tecnologías –pues estos datos estarán accesibles vía servicio web o transacción de usuario-, se está contribuyendo a
“
Hacer más sencilla y amable la relación del ciudadano con la Administración General del
¿Existe una Ley que autorice la cesión de los datos del DNI o de empadronamiento a los organismos de las Administraciones Públicas?
la opinión pública y no fueron comentados por los medios de comunicación hasta que, muy recientemente, se han publicado sendas Órdenes Ministeriales (Orden PRE/4008/2006 y Orden PRE/4008/2006, ambas del 27 de diciembre de 2007) que establecen las
y el Instituto Nacional de Estadística en el caso de datos de empadronamiento). ¿Bajo qué condiciones, según la LOPD, es legítima esta cesión de datos personales?: sólo cuando exista el previo consentimiento del interesado, el cual es necesario incluso en el escenario del sector público. Bien es verdad que de acuerdo a la propia LOPD, este consentimiento no se exigirá cuando la cesión esté autorizada en una Ley. ¿Existe una Ley que autorice la cesión de los datos del DNI o de empadronamiento a los organismos de las Administraciones Públicas que los necesiten en el ejercicio de sus funciones? Bueno, habrá quien diga que la propia Ley 30/1992 de Régimen Jurídico de las
nº 8
marzo 2007
�136
Protección de Datos
Administraciones Públicas establecía el derecho de los ciudadanos a no presentar documentos que ya se encuentren en poder de la Administración Pública; pero esto no significa que la Ley dé cobertura a la cesión de los datos concretos objeto de nuestra discusión. Defender lo contrario sería apurar al máximo la declaración de intenciones que se estableció hace ya quince años. Por ello, y como sí se hace necesario contar con el consentimiento del interesado para legitimar esta cesión de datos, los propios RD dejan bien claro que para que los organismos de la Administración Pública puedan consultar los datos personales de los ciudadanos en los Sistemas de Verificación de Datos, es
imprescindible contar con su consentimiento, que deberán otorgarlo de modo expreso e
durante alguno de los trámites posteriores. En este argumento podemos intuir el cumplimiento efectivo de una de las funciones de la Agencia Española de Protección de Datos: informar los proyectos de normas que incidan en materias de protección de datos. Quizás alguien se pudiera plantear si no se podría incardinar este escenario en la figura de encargado del tratamiento que accede a los datos por cuenta del responsable, escenario en el que no sería necesario el consentimiento del interesado para el tratamiento y cesión de los datos; pues bien, no es
Sí se hace necesario contar con el consentimiento del interesado para legitimar esta cesión de datos
inequívoco, bien al comienzo del procedimiento administrativo (a instancias del interesado), o bien
éste el caso, y por varias razones. La más evidente es que no existe un contrato del “artículo 12” de la
nº 8
marzo 2007
�137
Protección de Datos
indicación de nivel alto de aplicación de medidas de seguridad. Por ello se hace necesario, y así se establece en las Órdenes Ministeriales, el desarrollo de un sistema de registros de los accesos realizados por todos los usuarios, recogiendo la información de quién ha accedido, cuando, y qué datos concretamente se han consultado. Uno de los objetivos del Sistema de Verificación de Datos de Identidad es dotar de mayor seguridad al método actual de verificación de la identidad de un ciudadano, pues la norma argumenta que es más fácil falsificar una fotocopia del DNI que quebrar la seguridad del propio Sistema de Verificación. El LOPD, que legitimaría el acceso a los datos bajo unas determinadas condiciones de seguridad y confidencialidad. Pero existe otra razón más conceptual: el organismo de la Administración Pública que utilice el Sistema de Verificación de Datos no trata los datos personales de los ciudadanos por cuenta de la Dirección General de Policía o del Instituto Nacional de Estadística, sino que lo hace por cuenta propia, con unas finalidades determinadas por el propio organismo que atiende al ciudadano. Planteemos alguna cuestión más en relación a la protección de datos. En primer lugar, el uso del Sistema de verificación estará a disposición de los funcionarios e interinos que, debidamente autorizados, cuenten con acceso al sistema informático; y será su responsabilidad, como ya hemos visto, obtener el consentimiento de los interesados. Ahora bien, ¿qué ocurre si no se dispone de este consentimiento?; ¿de quién es la responsabilidad? Indudablemente, recae sobre el responsable del fichero (Dirección General de la Policía o INE) la obligación de verificar que los interesados han otorgado su ADEXTTRA (gestiones relacionados con la legislación de extranjería), ambos inscritos por la Dirección General de Policía en el Registro General de Protección de Datos con consentimiento para proceder a la cesión de los datos, sin perjuicio de que también los cesionarios deban mostrar la misma diligencia en su tratamiento. Por otra parte, y centrándonos en el Sistema de Verificación de Datos de Identidad, éste accede a los ficheros denominados ADDNIFIL (gestión del documento nacional de identidad) y razonamiento es cabal; sin embargo tenemos que pensar por un momento cuáles son las tres finalidades de la solicitud de la fotocopia del DNI a los ciudadanos que interactúan con la Administración Pública: a) la razonable garantía de que un ciudadano es quien dice ser, pues si ha tenido acceso a fotocopiar el DNI, es probable que no se esté inventando una personalidad distinta a la suya; b) la comprobación
Uno de los objetivos del Sistema de Verificación de Datos de Identidad es dotar de mayor seguridad al método actual de verificación de la identidad de un ciudadano
posterior de la identidad del ciudadano, mediante la revisión de la fotografía; c) la verificación de que la firma del ciudadano en los impresos del procedimiento administrativo coincide con la firma del propio documento de identidad. Bien, el Sistema de Verificación de Identidad podrá hacer otras cosas, y hacerlas bien, pero no cubre ninguna de estas tres “pequeñas garantías”, a menos que evolucione para mostrar la información digitalizada de la fotografía y la firma manuscrita del individuo consultado. Ambos datos están en la base de datos de la Dirección General de la Policía; pero, ¿los proporcionará el sistema con las debidas garantías de seguridad?
nº 8
marzo 2007
�