jueves, 26 de abril de 2012

Twitter y las administraciones públicas: al margen de la ley

Que duda cabe de que Twitter se ha convertido en una de las herramientas de más éxito en estos momentos para interactuar, lo mismo ha pasado con Facebook, Tuenti y otras herramientas similares, tanto que incluso nuestras administraciones empiezan a tener sus propios perfiles y sus páginas en esos servicios.


Pero a veces da la sensación de que esta presencia en las redes sociales se articula desde el  marketing y no se tiene en cuenta la existencia de un marco regulador de las relaciones entre los ciudadanos y la administración por medios electrónicos.

Y ciertamente existe normativa, basicamente se articula mediante la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos.

Como dice su artículo 1, el objeto de la Ley no puede ser más claro:
"La presente Ley reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos y regula los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica."
Y establece en su artículo 4 los principios sobre los que debe asentarse la actuación administrativa en el empleo de medios electrónicos, entre otros:
  1. El respeto al derecho a la protección de datos
  2. Principio de legalidad en cuanto al mantenimiento de la integridad de las garantías jurídicas de los ciudadanos ante las Administraciones Públicas establecidas en la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
  3. Principio de responsabilidad y calidad en la veracidad y autenticidad de las informaciones y servicios ofrecidos por las Administraciones Públicas a través de medios electrónicos.
  4. Principio de neutralidad tecnológica y de adaptabilidad al progreso de las técnicas y sistemas de comunicaciones electrónicas garantizando la independencia en la elección de las alternativas tecnológicas por los ciudadanos y por las Administraciones Públicas, así como la libertad de desarrollar e implantar los avances tecnológicos en un ámbito de libre mercado. A estos efectos las Administraciones Públicas utilizarán estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
Como vemos son principios muy interesantes, pero que vistas las herramientas que se emplean por la administración no parece que sean de extendido cumplimiento.

Aunque habría que empezar por los requisitos y condiciones de las administraciones para contratar con los proveedores de estos servicios, dejaré al margen este aspecto pero estoy convencido de que las conclusiones serían a buen seguro muy poco positivas.

Resulta paradojico que el primero de los principios sea el del respeto a la legislación de Protección de Datos cuando es precisamente el que mayores problemas plantea.

Parto de la base de que Twitter no celebra contratos con clausulados específicos para las administraciones públicas españolas.

Así lo normal es que un ayuntamiento directamente acceda a la página principal del servcio y se dé de alta con el nombre del pueblo u otro similar. Coloque en la descripción que es el Ayuntamiento del pueblo y a empezar a interactuar con los interesados.

A efectos de la LOPD la administración será un responsable de un fichero de datos que recogerá los datos de aquella persona que se ponga en contacto con ellos por esas vías y el prestador de servicios Twitter será un mero encargado del tratamiento.

El problema es que ninguno de estos servicios, por lo general, cumple con una de las principales obligaciones que marca la LOPD en relación a los encargados del tratamiento, artículo 12, cual es la existencia de un contrato en el que se determine lo que este artículo dispone como imperativo:
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
Pero además crear un fichero de datos para una administración pública no es tan sencillo como para una empresa, ello requiere el correspondiente acto administrativo, artículo 20 LOPD. Y no conozco un acuerdo de pleno o similar por el que se haya autorizado la aceptación de las condiciones de Twitter.


A este respecto el análisis de la Agencia Vasca de Protección de Datos (pdf) confirma estas conclusiones aunque si bien no entra en aquello que las administraciones hacen mal, como lo del contrato, sólo dice que tienen que cumpir con la LOPD.

Pero además se plantea otro problema importante, no relacionado con la Protección de Datos, cual es del respeto a los principios de legalidad y seguridad jurídica, puesto que excepto en aquellas cuentas que sean verificadas no es posible conocer la identidad real de quien interactua en un perfil determinado con la administración.

 Así en el caso de las aportaciones al Proyecto de Ley de Transparencia que se pedían hacer por el Twitter del Ministerio de la Presidencia,  una vez tramitado el proyecto de Ley tenemos el derecho a personarnos ante cualquier impugnación de la misma pero ¿como van a avisar a quienes hicieron comentarios por esa vía?

Un ejemplo de intentar hacerlo bien en este sentido es la iniciativa del ayuntamiento de Jun, del que se lleva oyendo hablar en internet desde hace muchos años, que ha desarrollado una inciativa para verificar cuentas de Twitter con el fin de que los ciudadanos verificados puedan realizar trámites administrativos desde su propia cuenta. Ahora bien, habría que ver el informe jurídico que hay detrás de esa decisión, pero al menos si es un paso en una buena linea.

Y lo que es más importante e igualmente un derecho, tampoco sabemos quien es el funcionario que está gestionando el perfil al otro lado.

La actuación de los funcionarios debe permitirnos identificar al funcionario actuante, por lo que o bien en la descripción del perfil o bien a requerimiento de cualquier usuario deben indicar quienes son las personas que están detrás de los mensajes que se lanzan.

Este derecho viene recogido en el artículo 35 de la Ley 30/1992 de Regimen Jurídico de las Administraciones Públicas y de Procedimiento Administrativo Común.

Por lo tanto, por ejemplo, podemos dirigirnos a la cuenta en Twitter de la @Policia y solicitar a la persona que la gestione que se identifique a través de su número de funcionario o a los responsables del perfil @desdelamoncloa.

Esto además entronca con el siguiente de los principios que he extractado, el de veracidad, puesto que ¿como vamos a tener veracidad en la información que se remite por esta vía sin saber quien es el responsable de la misma?

Y por último, respecto del principio de neutralidad y sobre todo el uso de estándares abiertos hay que tener en cuenta que lo que se establece es que hay que garantizar la libertad de elección por parte del ciudadano, pero la presencia en estos servicios no dispone de interconexión con otros, por lo que obligan a usar ese medio concreto.

Respecto del empleo de estándares abiertos, lo cierto es que la definición de la propia Ley 11/2007 en su anexo es tan amplia que casi tiene cabida todo:
  1. Estándar abierto: Aquel que reúna las siguientes condiciones:
    • sea público y su utilización sea disponible de manera gratuita o a un coste que no suponga una dificultad de acceso,
    • su uso y aplicación no esté condicionado al pago de un derecho de propiedad intelectual o industrial
 Por lo que en principio el empleo de este servicio podría considerarse como tal.

Así que Twitter no es una buena herramienta para nuestras administraciones públicas, es más en su uso se están contraviniendo varias de las normas de nuestro ordenamiento.

Y si miramos lo que dice el el artículo 4 de la Ley 11/2007 tendremos claro que las administraciones públicas cuando emplean Twitter no están cumpliendo la ley:
"La utilización de las tecnologías de la información tendrá las limitaciones establecidas por la Constitución y el resto del ordenamiento jurídico, respetando el pleno ejercicio por los ciudadanos de los derechos que tienen reconocidos"

Ni que decir tiene que practicamente lo mismo puede decirse de los perfiles y páginas en otros servicios como Facebook.

Artículo relacionado en el blog de Gontzal Gallo

7 comentarios:

  1. Hola David,

    Has planteado estupendamente los problemas jurídicos del 2.0 en las Administraciones Públicas y en la Administración Electrónica...pero puede haber más.

    ¿Cómo encaja Twitter, Facebook, Google+ en la sede electrónica? ¿Se consideran "sede electrónica también"?

    Pero, aun no considerándolos Administración Electrónica (que para mí no lo son), ¿no debería cumplir las legislaciones de publicidad institucional? Por ejemplo, a nivel de la Administración General del Estado la Ley 29/2005, de 29 de diciembre, de Publicidad y Comunicación Instituciona o a nivel autonómico, la Ley 6/2010, de 23 de diciembre, de Publicidad y Comunicación Institucional de Euskadi, la Ley 4/2009, de 28 de mayo, de Publicidad Institucional de Castilla y León, la Ley 13/2010, de 9 de diciembre, de publicidad institucional de las Illes Balears,....

    Yo creo que esto se debe a la "moda" de las RRSS, pero no hay que olvidar que yo como ciudadano tengo libertad en elegir como relacionarme con mi entorno (amigos, familia, etc...), pero las AAPP, no tienen, ni deben tener esa libertad.

    Un saludo.

    ResponderEliminar
  2. Curioso, ¿no tienen twitter y facebook un contrato específico para instituciones? ¿los ayuntamientos, museos, gobiernos, partidos, empresas, marcas... se dan de alta como usuarios individuales con las mismas condiciones? Parece que Twitter da una "licencia personal" https://twitter.com/tos Y no veo que haya forma de conseguir una corporativa o institucional. En cambio ofrece opciones de negocio https://business.twitter.com/es/advertise/start/ para empresas, aunque con un representante personal. Y pone casos de estudio con todo tipo de organizaciones https://business.twitter.com/es/optimize/case-studies/

    ResponderEliminar
  3. Me vas a permitir una discrepancia, David. En mi modesta opinión, la red social no es un encargado del tratamiento, es un responsable. Me remito, sin ir más lejos, al dictamen de la AVPD que enlazas en tu post:

    "Así, los usuarios de los servicios de la web 2.0, al editar contenidos en la red se convierten asimismo en responsables de tratamiento de los datos, salvo que sea de aplicación la excepción relativa a actividades domésticas, excepción prevista en el artículo 3 apartado 2 de la Directiva 95/46. También tienen la consideración de responsables de tratamiento los proveedores de los servicios, salvo que, como decimos, resulte de aplicación la excepción doméstica."

    Estamos, en mi opinión, en un supuesto de corresponsabilidad, similar en su configuración al que se da en el caso de ASNEF.

    En este caso, creo humildemente que el responsable del "fichero", en sentido estricto, debe ser el prestador del servicio. El usuario (en este caso, la Administración) vería limitada su responsabilidad al tratamiento que realiza, y por tanto a cumplir ciertas obligaciones básicas, tal y como adelantó Artemi Rallo en una entrevista concedida cuando aún dirigía la AEPD (último párrafo):

    http://www.abc.es/hemeroteca/historico-22-01-2010/abc/Medios_Redes/la-popularidad-en-las-redes-sociales-se-paga--_1133247468460.htm

    Un saludo.

    ResponderEliminar
  4. Cuando se dice en este artículo "Aunque habría que empezar por los requisitos y condiciones de las administraciones para contratar con los proveedores de estos servicios, dejaré al margen este aspecto pero estoy convencido de que las conclusiones serían a buen seguro muy poco positivas."

    ¿Estás diciendo que un Ayto, antes de entrar en Twitter debe licitar la contratación? realizar un convenio?

    Yo creo que ni lo uno ni lo otro. En muchos casos, será el personal de propio Ayto. el que lleve esto. Y no creo que te estés refiriendo a la gestión externa cuando hablas de "contratación con los proveedores de estos servicios"

    Respecto a la declaración de ficheros, no hay unanimidad al respecto, por mucho que la APPV u la AEPD diga (incluso la AEPD señalando el número de amigos a parir de los cuales surgen obligaciones LOPD...)

    Lo del art. 12 no lo veo,

    En cualquier caso, me parece muy interesante el artículo

    ResponderEliminar
  5. Gontzal, evidentemente esto da para un artículo muy largo. Con muchas cosas, pero parece que las AAPP no s on conscientes de lo que significa abrir un canal de comunicación directa.

    Y no me he metido con todo eso precisamente por hacer algo sencillo, pero estoy de acuerdo, queda mucho tomate...

    David: No he encontrado nada específico para administraciones públicas, de hecho tampoco es exactamente lo mismo que una AP.

    Leo: Gracias, pero es cierto que se puede entender así, en cuyo caso casi es peor, pues tendríamos una cesión de datos en lugar de una comunicación. Pero creo que es razonable también considerarlos como meros terceros.

    Salirdeinternet: Bueno, digo que hay que mirarlo, pero no va tanto por si se debe licitar o no como por el simple hecho de aceptar las condiciones de servicio de un sitio, sin acto administrativo concreto es posible... a partir de ahí todo lo demás....

    Sobre el resto, son opiniones...

    Muchas gracias por los comentarios

    Un saludo.

    ResponderEliminar
  6. En vista de lo que planteas en el artículo y dada mi completa ignorancia sobre el tema, se me ocurren dos cuestiones:


    - ¿Los perfiles gestionados por instituciones públicas deberían limitarse a ser meros canales de comunicación unidireccional (publicitarios, por llamarlo de otra forma)? Teniendo en cuenta que se trata de una forma de actuar contraria a la recomendada por toda la literatura que se ha creado sobre gestión de redes sociales y, sobre todo, que implica cerrar otra vía de comunicación entre administración y administrados, me parece una opción bastante arriesgada (socialmente hablando, ya que, al parecer, jurídicamente sería la correcta).

    - Para que los administrados interactúen con esas instituciones a través de perfiles creados en redes sociales... ¿no deben estar previamente registrados en la empresa que ofrece ese servicio? Al hacerlo, ¿no han aceptado las condiciones de dicho servicio y aportado sus datos voluntariamente? Ante este panorama, ¿dónde queda la responsabilidad de la administración por esa cesión de datos de la que ha sido responsable el propio usuario?

    Muchas gracias por el blog y por la información que aportas

    ResponderEliminar
  7. Hola:

    sobre la primera de las cuestiones, sí, o es un canal unidireccional (y aún así hay muchas cosas que no deben gestionar como lo hacen actualmente) o empiezan a analizar lo que significan sus respuestas.

    Sobre la segunda, esa es parte de la discusión, y más teniendo en cuenta que las condiciones de servicios se parecen poco a lo que la AGPD en España exige. Pero en mi opinión los datos por estar registrado son una cosa y el acceso que tiene la administración es otra, surgiendo un fichero del que deberán ser responsables y las consecuentes obligaciones.

    Gracias a tí.

    ResponderEliminar