Profesor de Derecho Administrativo, trabaja desde hace dos décadas en la protección de datos. Yvonne Iturgaiz

Unai Aberasturi | Presidente de la Autoridad Vasca de Protección de Datos

«Lo que más nos llega son quejas por accesos indebidos a historiales en Osakidetza»

Aberasturi asegura que, «en términos generales», las administraciones de Euskadi cumplen con la ley

Domingo, 7 de enero 2024, 14:01

La Autoridad Vasca de Protección de Datos ya es una realidad. La ley que transforma en autoridad a la agencia que velaba porque las administraciones protejan la información personal que manejan de los ciudadanos entró el viernes en vigor, tras ser aprobada en diciembre por ... el Parlamento vasco. Unai Aberasturi (Bilbao, 1978) dirige desde julio -ahora ya como presidente- este órgano, que afronta una nueva etapa en la que tendrá capacidad para sancionar a empresas públicas o vinculadas a la Administración y para realizar inspecciones de oficio. El docente, que lleva más de dos décadas investigando en este ámbito, se marca también el reto de «ser más conocidos y más utilizados» por la ciudadanía.

- La agencia, ahora autoridad, cumple 20 años en este 2024. ¿La población sabe que existe?

- La gente sabe cada vez más que tenemos esta figura y las administraciones, también. Es verdad que no somos tan conocidos. El reto es que se nos use más. Y somos importantes, porque nos dedicamos a proteger a las personas de los usos que hacen los entes públicos de sus datos.

- ¿Cuántas quejas atienden al año?

- Tenemos diferentes procesos. Hacemos unos 40 dictámenes e informes, resolvemos unas 70 denuncias, 25 procedimientos de infracción... La ciudadanía está más concienciada de la importancia de sus datos y las consultas van a más.

- ¿Las instituciones vascas son cumplidoras?

- En términos generales, sí. Hemos hecho un trabajo muy importante acompañando a las administraciones y la normativa se ha ido aplicando de manera oportuna y correcta.

- ¿Cuáles son los asuntos más habituales?

- Es curioso porque, si bien el debate a nivel social siempre se plantea en relación a las nuevas tecnologías, lo que más nos llegan son procedimientos ordinarios vinculados sobre todo a Osakidetza, por ejemplo por sospechas de accesos indebidos a historias clínicas. O también que se han publicado en notificaciones administrativas más datos de los debidos.

- Le cito la página web del Boletín Oficial de Bizkaia, donde se dice que el servicio público del BOB no se hace responsable de los datos de carácter personal publicados en el mismo. ¿Y quién se hace responsable?

- La Administración que solicita la publicación.

20 aniversario en 2024

«El reto es que se nos use más, porque nos dedicamos a proteger a las personas»

- ¿Y está bien que aparezcan los datos de un ciudadano sancionado?

- La normativa establece criterios específicos sobre cómo identificar a las personas en ese tipo de situaciones, de tal forma que el daño al derecho a la protección de datos sea el menor posible.

- Resulta curioso que aparezcan nombres, apellidos y DNI si debes dinero a las administraciones, pero no se pueda preguntar por la habitación de una tía ingresada en el hospital.

- Los intereses en juego son distintos. En el caso de la notificación, la persona interesada tiene que tener conocimiento de esa resolución y la fórmula que encuentra la ley, si no se ha podido contactar en el domicilio, es el boletín... En el otro supuesto, es un debate histórico porque se puede dar por hecho que tienes una buena relación con tu tía, pero no tiene por qué.

- El Día de Todos los Santos, 1 de noviembre, quienes acudieron al cementerio de Derio se encontraron con tarjetas rojas colocadas por el Ayuntamiento de Bilbao en los nichos cuyas concesiones no habían sido abonadas.

- Me parece excesivo. Los datos de las personas fallecidas no están sujetos a protección de datos, porque cuando mueres pierdes la personalidad, pero podría entenderse que, con los apellidos de esa persona, podría identificarse a los familiares. Es una interpretación, sin conocer el caso, pero resultaría a todas luces excesiva esa actuación. Hay muchas formas para hacer que paguen esa concesión que no sea haciendo pública su situación de morosa.

- La Hacienda vizcaína también publica cada año un listado de morosos.

- En su día fui relativamente crítico con esta publicación no porque me pareciera mal, sino porque jurídicamente podía haber fisuras. La cuestión es que existe una habilitación legal, con unos criterios específicos, con lo cual anualmente se publica la lista de las personas que adeudan una gran cantidad de dinero a la sociedad.

Publicar datos de pederastas

«Los antecedentes están sujetos a un régimen especial. No se puede marcar a una persona»

- Pero no se identifica de la misma manera, por ejemplo, a los pederastas condenados.

- En este supuesto se está hablando de datos especialmente sensibles, sujetos a un régimen jurídico especial, como son los antecedentes penales, que sólo pueden tratarse para unos fines muy concretos y por entes muy concretos. Legalmente, ese tipo de datos no tienen por qué ser públicos porque la finalidad a cumplir con esa publicación no es lo suficientemente importante como para marcar a una persona de esa manera.

Noticia Patrocinada

- Legalmente no, pero socialmente puede resultar lo suficientemente importante saber si un vecino está condenado por abusar de un menor.

- Claro, pero lo que corresponde al legislador es tener un criterio más objetivo y entender dónde reside el interés público, no tanto el interés del público. A mí me parece oportuno que se proteja también a las personas que han sido condenadas, siempre que no esté en juego un bien jurídico de mayor entidad. Una persona que ha cumplido su condena tiene todo el derecho a reinsertarse en la sociedad.

- En el ámbito educativo, cuando unos padres se han separado se remiten sentencias completas de divorcio al centro.

- Si se manda entera está mal hecho. En el centro no tienen por qué conocer las circunstancias en las que se ha desarrollado el divorcio. Se tiene que remitir única y exclusivamente la información pertinente.

- Colgar las notas con nombres y apellidos en los tablones de anuncios, ¿está bien o mal?

- No se recomienda. La publicación de las notas tiene que ser individualizada y a través de plataformas.

- En bolsas de empleo para las administraciones también aparece información personal.

- Eso se puede hacer porque hay una habilitación de normativa administrativa que lo permite, pues la notificación se hace a través de tablones de anuncios en el boletín.

Futuro

«Nuestro ámbito de actuación se amplía y lo lógico es que contemos con más personas»

- Lo que vale para una cosa no vale para otra.

- Exacto.

- Acaba de entrar en vigor la ley que convierte a la agencia en autoridad. ¿Cuál es su capacidad de actuación?

- Tenemos varios procedimientos. Si nos llega la denuncia de una infracción, investigamos, y si consideramos que se da esa infracción, apercibimos a la administración, no hay sanción económica porque no lo permite la legislación nacional, y se establecen las medidas que debería adoptar. Con la nueva ley vasca, sí que podemos controlar la actividad de entes sujetos a derecho privado (empresas públicas), a los que sí podemos sancionar.

- Podrán actuar de oficio, pero cuando compareció en el Parlamento vasco el pasado verano avisó de que hace falta más personal para desarrollar esa labor.

- Nuestro ámbito de actuación va a ampliarse. Vamos a tener que llegar a más sitios y, para eso, lo lógico es que contemos con más personas.

«Cada vez hay más brechas de seguridad y riesgos»

- Ahora los datos no están solo en boletines y tablones de anuncios, también en internet. ¿Cómo se controla?

- Nuestro ámbito de actuación se limita al sector público, pero existe una preocupación social avalada por los números. En el primer semestre del año pasado hubo casi 13.000 ciberdelitos en Euskadi, aunque en algunos casos la falta de seguridad no viene de un ciberataque, sino por imprudencia, por negligencia, porque se ha caído el sistema...

- ¿Estamos normalizando las brechas de seguridad?

- Nos estamos familiarizando con estas situaciones, pero no normalizando. Cada vez hay más brechas, más ataques o más situaciones de riesgo. Somos más conscientes y eso nos mantiene en alerta.

- Los ciberataques que más alarma generan son los bancarios.

- Los casos más llamativos son aquellos en los que esos datos pueden acabar en vete a saber dónde y que de repente tus cuentas lleguen a cero. Nos hemos acostumbrado a publicar mucha información sobre nosotros y valoramos más las situaciones de riesgo cuando lo afectado no es la intimidad, sino el bolsillo.

- ¿Lo ponemos fácil?

- Muchas veces demasiado. Nos identificamos con el mismo usuario y contraseña en diferentes aplicaciones, con lo que basta que se nos robe esa identificación una única vez para que se dé acceso a múltiples aplicaciones en las que hay información diversa sobre tu persona. La mayoría de aplicaciones que tenemos en nuestro teléfono se actualizan dando permisos a cosas que desconocemos absolutamente. Si nos fijamos en los permisos que tenemos habilitados para que accedan a la información, seguramente nos asustaríamos.

- ¿Y para qué quieren esa información?

- Esa es la gran pregunta. ¿Para qué quiere la brújula acceder a nuestras fotos?

- ¿Teorías?

- Teorías... Detrás de la brújula habrá una empresa que podrá vender los datos, perfilarte y repetirte publicidad personalizada.

Este contenido es exclusivo para suscriptores

Accede todo un mes por solo 0,99€

Te puede interesar

Bizkaia

Athletic

Bilbao Basket

Deportes

Sociedad

Salud

Cultura

Territorios

Jantour

Planes

Mendian

Servicios