En las charlas entre colegas y apasionados de protección de datos y administración electrónica (hay gente con hobbies más raros), siempre surgen temas de debate y preguntas que la práctica diaria impone resolver. Fruto de una de estas conversaciones ha sido la pregunta: ¿puedo poner el nombre de un ciudadano (directo interesado) en el nombre de un documento electrónico? ¿Esta práctica es conforme a la Ley Orgánica de Protección de Datos?

Un ejemplo para aclarar el asunto. Pongamos que yo he sido expedientado por la Concejalía de Urbanismo de mi ayuntamiento por una infracción urbanística. La sanción es definitiva y no caben recursos, así que me toca pagar la sanción.

Por su parte, el Ayuntamiento, para custodiar el expediente electrónico, pone mi nombre a la correspondiente carpeta para archivarlo y, en un futuro, poder acceder a ello.

Visto así, no creo que haya inconvenientes, a priori, para que esta práctica sea conforme a la LOPD. Intentemos ver el porqué.

Para empezar, el expediente electrónico con mi nombre es, sin duda alguna, parte de un fichero, tal y como lo define el art. 3.b) LOPD: «Fichero: todo conjunto organizado de datos de carácter personal, cualquier que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».

El fichero que el Ayuntamiento habrá declarado ante la Agencia Española de Protección de Datos se llamará, posiblemente, «Expedientes Sancionadores» y, en ese gran cajón, estaremos todos los infractores que, en el ámbito de las competencia municipal, nos hayamos visto como infractores (en materia urbanística, ruidos, medioambiente, etc.).

Tenemos fichero, tenemos tratamiento de datos, tenemos datos personales, hasta tenemos afectados (que soy yo), pero (todavía) no tenemos una respuesta clara a la pregunta inicial.

También tenemos la obligación por parte del Ayuntamiento de almacenar los datos «de forma que permitan el ejercicio del derecho de acceso… (art. 4.6 LOPD). Así que, el Ayuntamiento puede, a mi entender, guardar el expediente con mi nombre. De hecho, cuando yo presente el ejercicio de derecho de acceso, puedo simplemente decir: «Oiga, que quiero saber que saben de mí en Urbanismo«. Si no me pueden buscar con mi nombre, a ver cómo pueden contestar a mi derecho.

Eso sí, las obligaciones del Ayuntamiento no terminan ahí. Tal y como manda el art. 9 LOPD, el Responsable del Fichero (el Ayuntamiento, en este caso) debe tomar todas las medidas técnicas y organizativas para que mis datos (y mi expediente) no sean accedidos (palabro) por personas no autorizadas.

En la práctica, eso quiere decir que el Ayuntamiento no puede permitir a todos los usuarios de la información municiapal poner en el buscador interno mi nombre y que salga asociado al famos expediente sancionador urbanístico. Mucho menos puede (ni debe) permitir que mis datos queden a la vista de un buscador externo. Si así fuera, un motor de búsqueda podría leer mi nombre y devolver como resultado de la búsqueda que yo he sido sancionado por el Ayuntamiento por una determinada infracción.

Para estar seguros de esta afirmación, nos vamos a leer qué dice a este propósito la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

Con el art. 31.3, in fine, nos acercamos a una respuesta más clara ya que los medios de almacenamiento «asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos«.

Et voila.

Definitivamente, podremos llamar a mi expediente sancionador con mi nombre, pero antes nos deberemos de haber asegurado quién, cómo y a qué título accede a esa información.

No me he parado en la diferenciación entre documento administrativo electrónico (art. 29, Ley 11/200/) y expediente electrónico (art. 32, Ley 11/2007), no porque no haya diferencias,  sino porque, en este caso, el tratamiento de los datos personales es el mismo.

En todo caso, como siempre, se aceptan opiniones contrarias.