A propósito de la noción de privacy by design en los formularios de sugerencias.

Ricard Martínez Martínez.

A principios de enero  de 2013 El Derecho.com publicaba un contundente titular: «El buzón de sugerencias de CORA (Comisión de Reforma de las Administraciones Públicas) incumple la LOPD». El artículo concluía que el Final del formulario

buzón, que consta de dos formularios online ubicados en la Sede electrónica de la Secretaría de Estado de Administraciones Públicas, obliga al ciudadano que quiera utilizarlos a facilitar su nombre, primer apellido, NIF y e-mail, por lo que claramente se produce un tratamiento de datos de carácter personal. A continuación añadía la información de la nota legal existente en nota al pie:

 «Los ficheros de datos solicitados en los servicios de buzones y suscripciones de esta Web no contienen datos personales, ni el usuario debe proporcionarlos para utilizar las funcionalidades y herramientas puestas a disposición. El Ministerio de Política Territorial y Administración Pública no se responsabiliza de las contestaciones que se realicen a través de las distintas direcciones de correo electrónico que aparecen en estas páginas, salvo la del propio departamento. La información obtenida a través de los buzones contenidos en estas páginas tiene carácter meramente informativo, sin que en ningún caso pueda derivarse de ella efecto jurídico vinculante alguno (Real Decreto 208/1996, art 4 b)».

La información legal se completa con enlaces a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y a la sede de la Agencia Española de Protección de Datos.

La conclusión, no podía ser otra que «en la recogida de datos personales a través del buzón de sugerencias de CORA (Comisión de Reforma de las Administraciones Públicas) no se está cumpliendo con el deber de informar al afectado en los términos que establece el artículo 5 de la LOPD».

La cuestión, sin embargo, ofrece matices adicionales ciertamente interesantes y que afectan a una cuestión probablemente más interesante que el hecho del cumplimiento o no de un determinado aspecto de la legislación vigente. La cuestión seguramente más relevante es la que atiende al análisis previo del entorno de captación de los datos desde distintos puntos de vista.

En primer lugar, cabe atender a la finalidad, Parece evidente que ésta no es otra que ofrecer al ciudadano una ventana abierta a opinar sobre la administración española con la que recoger la percepción social sobre la misma. No cabe esperar que en un contexto tan abierto el Ministerio espere obtener un concienzudo análisis técnico de expertos administrativistas y gestores. Es otra la metodología para esto último. Por tanto, un espacio abierto en el que cualquiera podría opinar cualquier cosa, e incluso ejercer el derecho al pataleo, no requiere de un tratamiento intensivo de datos. Únicamente podría plantearse alguna estrategia para evitar que un ciudadano opine en más de una ocasión, lo que podría lograrse con cookies, indexando IP’s o con un tratamiento muy limitado de datos de control.

A partir de aquí la secuencia informativa en la primera pantalla es lógica. Se ofrece únicamente una información general:

Sin embargo, una vez entramos en la toma de datos el sistema requiere con carácter obligatorio, -al menos eso es lo que tradicionalmente significa una asterisco en el mundo Internet-, los datos de identificación básicos incluido el NIF y una cuenta de correo electrónico.

No se trata de datos en absoluto banales. No está de más recordar que uno de los pilares nucleares de las primeras leyes de protección de datos personales  era precisamente era fijar límites y controles a la acción estatal. Ese fue el objetivo de la prohibición por la Constitución de Portugal del uso de identificadores únicos, y la referencia explícita a limitar los usos de la informática por el artículo 18 de la Constitución Española. Por tanto, es fundamental conocer si estos datos se almacenarán o no, y/o con que finalidad serán utilizados. ¿Seremos indexados como disidentes? ¿Serán demonizados los que no critiquen acerbamente a los funcionarios públicos? Es evidente que ni una cosa ni otra, pero los adeptos a la teoría de la conspiración ya tienen un ladrillo más para construir su edificio.

Como puede apreciarse existe cierto nivel de profundidad de la encuesta en cuanto a la localización geográfica del administrado, la Administración de referencia y el órgano afectado. Por ello el Gobierno tiene un verdadero interés en fomentar la confianza de los ciudadanos tal vez el diseño jurídico del entorno debería ser sustancialmente modificado.

En primer lugar, todo hace pensar en la existencia de un fichero, y en particular la propia estructura del proceso de recogida de los datos con combos desplegables que usualmente se vinculan a la carga de datos desde una base de datos predefinida. Pero, supongamos que no es así, ya que tampoco existe razón alguna para desconfiar. Parece evidente que existe un tratamiento en los términos que definen la Ley y su Reglamento:

t. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias» (art. 5 LOPD).

Resulta conveniente recordar la Sentencia del Tribunal de Justicia de 6 de noviembre de 2003 dictada en el asunto C-101/01 (Lindqvist), que define del concepto de tratamiento.

«25. En cuanto al concepto de «tratamiento» de dichos datos que utiliza el artículo 3, apartado 1, de la Directiva 95/46, éste comprende, con arreglo a la definición del artículo 2, letra b), de dicha Directiva, «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales». Esta última disposición enumera varios ejemplos de tales operaciones, entre las que figura la comunicación por transmisión, la difusión o cualquier otra forma que facilite el acceso a los datos. De ello se deriva que la conducta que consiste en hacer referencia, en una página web, a datos personales debe considerarse un tratamiento de esta índole.

(…)

«27. Por tanto, procede responder a la primera cuestión que la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» en el sentido del artículo 3, apartado 1, de la Directiva 95/46».

La cuestión la recoge también de modo indirecto el Dictamen 4/2007 sobre el concepto de datos personales del Grupo de Trabajo del art. 29 de la Directiva, que nos permite entender el marco normativo aplicable a un tratamiento de datos personales en una web:

«Desde el punto de vista del contenido de la información, el concepto de datos personales incluye todos aquellos datos que proporcionan información cualquiera que sea la clase de ésta. (…) El término «datos personales» comprende la información relativa a la vida privada y familiar del individuo stricto sensu, pero también la información sobre cualquier tipo de activad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social. El concepto de «datos personales» abarca, por lo tanto, información sobre las personas, con independencia de su posición o capacidad (como consumidor, paciente, trabajador por cuenta ajena, cliente, etc.).

(…)

Por otra parte, para que la información sea considerada como datos personales no es necesario que esté recogida en una base de datos o en un fichero estructurado. También la información contenida en un texto libre en un documento electrónico puede calificarse como datos personales, siempre que se cumplan los otros criterios de la definición de datos personales. El correo electrónico, por ejemplo, contiene datos personales».

Todo lo anterior subraya la importancia de desarrollar estrategias de diseño basado en la privacidad, incluso en el marco de un buzón de sugerencias. No resulta ocioso recordar que el derecho de información en la recogida de datos personales constituye, según la STC 292/2000, parte del contenido esencial del derecho fundamental a la protección de datos personales. Y que esta información debe ser previa y específica.

Si enmarcamos además la recogida de datos en el contexto de una reforma de la Administración que se augura convulsa, y con una ciudadanía particularmente irascible, un diseño que ofrezca confianza y seguridad pasa a de ser una mera formalidad jurídica para convertirse en un elemento estratégico para proporcionar confianza y seguridad.