Cuando Internet entra por la puerta, la LOPD sale por la ventana
Nadie duda de las bondades de Internet, ni del ahorro de costes que supone pasarlo todo a digital… pero tampoco podemos olvidar que el ciudadano tiene unos derechos fundamentales garantizados constitucionalmente, ni que existen unas leyes que protegen dichos derechos a base de imponer cuantiosas multas.
Aún a riesgo de resultar repetitivos o de parecer demasiado conservadores (ya hemos hablado en otras ocasiones sobre el Derecho al Olvido en relación con el periodismo digital y con los boletines y diarios oficiales digitales), debemos decir que la experiencia obtenida a través de nuestros clientes, continúa revelándonos nuevos aspectos de la transición al mundo digital que chocan frontalmente con la protección de datos personales.
Hoy le toca el turno a la notificación de los accidentes de trabajo a través del Sistema Delta del Ministerio de Trabajo (o mejor dicho, de Empleo y Seguridad Social).
Pasando por encima de la complicación que suponeaplicarle las medidas de seguridad de Nivel Alto al dichoso parte de accidente cuando, sin embargo, un parte de baja por enfermedad común sólo requiere el nivel básico (este tema también lo tratamos anteriormente), el procedimiento establecido por Delta, entraña un riesgo para la protección de datos mucho menos evidente.
El proceso más habitual es el siguiente:
-Un trabajador, con más sueño que devoción, tiene un accidente de coche mientras se dirigía al trabajo por la mañana.
-Resultado de dicho accidente, el trabajador detecta (o incluso se inventa) un dolor en el cuello, por lo que se dirige a su mutua a ver si consigue que le den la baja por AT.
-Del análisis de dicha dolencia, se genera un registro del accidente que la mutua comunica a la empresa para que rellene el correspondiente parte Delta (si lleva descripción de la lesión sufrida, ya tenemos esos indeseables datos de salud en nuestra empresa).
-El departamento de Recursos Humanos, o la gestoría, o quizá el Departamento de Prevención de Riesgos Laborales recibe esta notificación y, tras recabar la información necesaria, cumplimenta el tedioso parte Delta.
-…Disculpen… corrijo el punto anterior: En realidad, UNA PERSONA FÍSICA del departamento de Recursos Humanos, o de la gestoría, o del Departamento de Prevención de Riesgos Laborales, cumplimenta el tedioso parte Delta.
-Para ello, únicamente se necesita un “certificado digital de persona física”, que en la mayoría de los casos, es el certificado digital de la FNMT.
-Además, entre las funcionalidades del Sistema Delta, aparte de registrar nuevos partes, está la consulta de los partes notificados anteriormente.
Por favor, tómense un minuto de reflexión antes de seguir leyendo… ¿Ya? Bien. ¿Y cuál es el problema?
Pues básicamente, que es la persona física quien notifica o consulta los partes de accidente, no la empresa. Desde el punto de vista de protección de datos, esto puede implicar varias cosas:
-La más preocupante es que cuando esta persona abandona la empresa, puede seguir consultando y descargándose los partes Delta que ha notificado anteriormente… y lo que es peor, parece posible que también siga teniendo capacidad de notificar un nuevo parte Delta.
-Otras consecuencias menos probables, pasarían por considerar a la persona física como Responsable del Fichero, puesto que es la única que tiene capacidad de disposición sobre la información notificada a través del Delta (debiendo cumplir con la obligación de inscribir un fichero en la AEPD, informar a los afectados, obtener su consentimiento expreso pues es un dato de salud, elaborar un documento de seguridad, etc.). Tranquilidad, que ya digo que este enfoque no me parece realista ni adecuado, pues normalmente se trata de un trabajador por cuenta ajena que sólo hace lo que le dicen sus jefes.
Por esta desconcertante situación, se planteó la siguiente consulta por email al Sistema Delta:
“Estimados señores,
(bla, bla, bla)
¿Para notificar un accidente de trabajo en una empresa es necesario disponer de algún tipo de autorización específica o basta con tener un certificado digital?
En cualquiera de los 2 casos, ¿existe alguna forma para rescindir los permisos de acceso a los partes notificados anteriormente por la persona con su certificado digital cuando ésta abandona la empresa? ¿y de impedir que notifique futuros accidentes?
Para evitar el uso de certificados personales, se ha valorado la posibilidad de utilizar certificados de persona jurídica; no obstante, nos indican desde la FNMT que ellos no pueden limitar ni restringir de ninguna forma el uso de dichos certificados (y por motivos obvios, sería interesante limitar dicho uso exclusivamente a la notificación de accidentes de trabajo).
¿El Sistema Delta ofrece alguna posibilidad de obtención de certificado exclusivo para la interacción con Delta, como es el caso del certificado Silcon del Sistema RED de la Seguridad Social?
Y en tal caso ¿existe algún procedimiento de revocación de personas autorizadas a utilizar ese certificado cuando abandonan la empresa o cuando cambien sus funciones?
Agradezco de antemano su pronta respuesta.
Reciban un cordial saludo.”
Sorprendentemente, la respuesta no se hizo esperar más de 10 minutos:
“Habiendo recibido y analizado su consulta, pasamos a indicarles la solución que creemos más acertada.
En Delta se registran personas físicas y no empresas. Los partes tramitados únicamente pueden ser visualizados a través de la aplicación por aquellas personas que lo tramitaron. Solo puede darse de baja de la aplicación la propia persona que esta registrada como representante de empresa. Únicamente pueden revocar las firmas digitales los propietarios de las mismas y no hay ninguna manera de evitar que estas personas no tramiten más partes. Una opción sería tramitar todos los partes de la misma empresa con una única firma digital.
Esperamos haber contribuido a solucionar su problema. De no ser así, rogamos vuelvan a contactar con nosotros, mediante un nuevo correo o llamando al 902 88 77 65 (Centro de Atención a Usuarios de aplicaciones externas del MEYSS).
Saludos cordiales,”
Sin entrar a valorar la sugerencia de que varias personas utilicen una única firma digital personal, se confirman nuestros temores. Básicamente, no hay forma de impedir que una persona que ha notificado un parte Delta con un certificado de la FNMT siga accediendo a este parte aún después de finalizar su relación con la empresa.
Sin embargo, el artículo 91 del Reglamento de Desarrollo de la LOPD, exige lo siguiente:
“1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.”
Y su incumplimiento, es una infracción grave de la normativa de protección de datos, con sanciones entre 40.000 y 300.000 euros.
Es decir, que por cumplir con nuestras obligaciones (cumplimentar el parte Delta) con las herramientas que la Administración pone a nuestra disposición (certificado digital FNMT), nos arriesgamos a recibir una fuerte sanción.
¿Soluciones?
-La más lógica sería que la AEPD tomase cartas en el asunto y forzase al Sistema Delta a implantar un procedimiento que no tenga este agujero. No obstante, después de ver la falta de pudor en algunas administraciones públicas a la hora de reconocer que no les importa la protección de datos, yo no depositaría grandes esperanzas en esta solución.
-Otra opción más práctica y segura, es recurrir a un certificado digital de una entidad privada (cualquiera de las aceptadas por Delta servirían) que ofrezca un “Certificado corporativo de persona física”, que es un certificado reconocido de persona física que identifica al suscriptor como vinculado a una determinada organización, ya sea como empleado, asociado, colaborador, cliente o proveedor. La empresa podrá revocar este certificado cuando la persona deje la organización. Lo malo es que hay que acordarse de revocarlo (algo que, en la práctica puede quedar en tierra de nadie aunque esté procedimentado por escrito), y que perdemos el acceso a los partes que conserva el Sistema Delta y que haya tramitado esta persona (lo que nos fuerza a quedarnos con una información a la que tenemos que aplicar el nivel alto de seguridad).
En fin, lo dicho: cuando Internet entra por la puerta, la LOPD sale por la ventana… y las empresas se quedan perplejos sin saber a quién tenerle más miedo.
Consultor experto en Protección de Datos y derecho de las Nuevas Tecnologías y Responsable del departamento legal de Áudea Seguridad de la Información
Gracias por compartir este singular e interesante caso. Resulta evidente que el problema que planteas encuentra su origen en un deficiente analísis funcional a la hora de diseñar la aplicación Delta que desconoció este aspecto derivado de la apliación de la LOPD (probabalemente por un deficiente asesoramiento en este punto). En mi opinión la empresa no incumple la LOPD pues la utilización de DELTA casi deviene obligada, sino que es la Seguridad Social la que debe adecuar su programa a la Ley. Yo sugeriría presentar una denuncia ante la AEPD pues aunque la cuestión vaya lenta, seguro que es la forma más segura de que terminen arreglándolo.
Se agradece el detalle de ese caso concreto pero me temo que a estas alturas no somos ni siquiera capaces de hacer un mapa (digital, por supuesto) de cuánta información se dispone sobre nuestras vidas, quiénes disponen de ella y dónde se encuentra dicha información. Imposible.
Supongo que es conocida la directriz de la UE por la cual los estados están obligados a guardar nuestros correos electrónicos durante dos años.
Esta información ya se guardaba en numerosos ficheros durante cinco años en muchos países. Bien por los ISP’s, los servidores de correo o agencias de espionaje (¿inteligencia?) que guardan “por guardar” por si algún día tienen herramientas de análisis.
Este campo, el análisis topológico de textos, es uno de los que están recibiendo más impulso en los últimos años.
La mayor parte de nosotros no sólo somos impotentes ante este fenómeno sino que incluso es imposible encontrar una autoridad concreta que tenga una visión correcta de lo que está sucediendo porque el monstruo tiene vida y una lógica propia y mutante que ya no depende de mentes humanas sino de motores de inferencia de lo que en su momento se conoció como inteligencia artificial.
Pensemos por un momento en el advenimiento del Cloud Computing por el cual nadie sabe dónde residen nuestros datos, ficheros, recursos de procesamiento o bases de datos personales o empresariales.
O cómo las redes sociales, su software, penetra en cada uno de nuestros ordenadores cada vez que accedemos a un periódico o un blog para leer o comunicar algo.
Estas herramientas, además de atractores de incautos bienintencionados o deseosos de una cierta notoriedad, no son neutras ni asépticas. Tienen, aplican y filtran su propia ideología e intereses.
Basta recordar el ejemplo del ingenuo usuario de “Feisbuk” castigado recientemente por compartir con sus amigos una foto de unos cientos de cadáveres de cristianos quemados vivos en un país africano.
A uno le parece inconcebible que nosotros mismos estemos cooperando con entidades de tanto poder y luego nos quejempos de lo que nos hacen.
Debiéramos plantearnos su utilidad real para nosotros y, sobre todo, el mensaje que estamos dando cuando fiamos a un software ajeno datos no sólo propios sino de nuestros conocidos como sucede con ese engendro de “linquedin” en el cual apeceremes por que un mal amigo, un imprudente, les ha dado nuestro correo electrónico. Todas ellas pendientes de dar un pelotazo bursátil a base de incautos que nunca aprenden. O peor.
¿No es mejor tener un círculo más pequeño, a nuestra escala real, a la medida de nuestras capacidades, que exhibir ese ansia por dejar que una máquina gestiones nuestras relaciones personales o profesionales? ¿Tan poco valor damos a nuestros amigos o clientes?
En fin, que estoy por el boicott activo de todos estos sucedáneos del afecto.
¿O no?
Bibliografía.
“The filter Bubble” de Eli Pariser.
Un resumen de los efectos no fácilmente visibles de Internet y la fauna que en ella mora.
Le agradezco su comentario. En reiteradas ocasiones he formulado denuncias -alrededor de una docena- ante la AEPD, y debo decirle, en honor a la verdad, que nunca he obtenido resultado positivo alguno. Creo que estos señores se la cogen con papal de fumar, tienen miedo a que la Audiencia Nacional eche por tierra sus resoluciones, y/o temen enfrentarse a grandes diarios nacionales, que pueden ponerles a parir por su incompetencia…, y no estarían faltos de razón. Y no digamos si las quejas son contra Google: ahí directamente no se atreven a hacer nada. Realmente tener una AEPD que sirve para tan poco, no se si es bueno, pero creo que podríamos ahorrarnos el dinero, y establecer como único cauce para la defensa de nuestros derechos el ámbito judicial, dónde al menos se mojan. Y, de paso, suprimir las “agenciellas” creadas por la Comunidad de Madrid, y alguna otra, creo que el País vasco, como forma de dar acomodo a políticos correligionarios y afines. Vease el caso de don Santiago Abascal, sin ir más lejos, que sabe de informática tanto como yo, es decir, bien poco.
Le agradezco su comentario. En reiteradas ocasiones he formulado denuncias -alrededor de una docena- ante la AEPD, y debo decirle, en honor a la verdad, que nunca he obtenido resultado positivo alguno. Creo que estos señores se la cogen con papal de fumar, tienen miedo a que la Audiencia Nacional eche por tierra sus resoluciones, y/o temen enfrentarse a grandes diarios nacionales, que pueden ponerles a parir por su incompetencia…, y no estarían faltos de razón. Y no digamos si las quejas son contra Google: ahí directamente no se atreven a hacer nada. Realmente tener una AEPD que sirve para tan poco, no se si es bueno, pero creo que podríamos ahorrarnos el dinero, y establecer como único cauce para la defensa de nuestros derechos el ámbito judicial, dónde al menos se mojan. Y, de paso, suprimir las “agenciellas” creadas por la Comunidad de Madrid, y alguna otra, creo que el País vasco, como forma de dar acomodo a políticos correligionarios y afines. Vease el caso de don Santiago Abascal, sin ir más lejos, que sabe de informática tanto como yo, es decir, bien poco.
Gracias por la información que aportas que me parece muy interesante, ya que este tema de los partes de accidentes a través del sistema delta afecta a todas las empresas industriales, talleres, etc.
Yo también pienso que la empresa no tiene alternativa de actuación en este caso y por tanto no incumple la LOPD.