1740 - Consideraciones sobre el uso de la tecnología por parte de las Administraciones públicas para relacionarse con el ciudadano

El uso de cookies por las Administraciones públicas

Las cookies son ficheros o paquetes de datos que se intercambian entre el ordenador del usuario y un servidor web para identificar usuarios específicos y realizar un seguimiento.

El RGPD nos dice sobre ellas que:

 «Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de "cookies" u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas».

Por su parte la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), también regula el tratamiento de las cookies en su artículo 22.2, que dispone:

«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».

A TENER EN CUENTA. Entiéndase la referencia hecha a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esta ley solo se aplicará a las Administraciones públicas cuando su actividad tenga un carácter económico, es decir, cuando se preste un servicio a título oneroso, lo que no es lo habitual en los portales web de las Administraciones. También, cuando se permita el uso de cookies a cambio de incluir servicios en el portal web, cuando estos se integren en la propia web y no estemos ante enlaces a páginas de terceros.

Siempre que se permita el uso de cookies de terceros, la Administración debe garantizar que se cumplan los deberes de información y consentimiento de los usuarios.

Hay que concluir que cuando las Administraciones públicas no estén sujetas a la LSSI, es decir, no se considere prestadora de un servicio de la sociedad de la información, pero estemos ante datos de carácter personal, habrá que aplicar el RGPD y la LOPDGDD.

Por otra parte, los portales y aplicaciones oficiales suelen utilizar programas gestores de contenido, y estos normalmente son programas comerciales o de código abierto que pueden utilizar cookies para su funcionamiento, es por ello, que el responsable del portal debe comprobar que tipo de cookies requiere el gestor de contenidos y los plugins que se emplearán, así como hacer los arreglos necesarios para eliminar las no necesarias.

En ningún caso el rechazo que realice el usuario al uso de las cookies no imprescindibles podrá suponer una limitación al ejercicio de sus derechos y libertades, ni un obstáculo o impedimento para acceder al portal web de la Administración pública, estando la misma obligada a cumplir con lo establecido en el Real Decreto 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público.

Dado que el uso de cookies conlleva el riesgo de que se recopile información personal no necesaria, riesgo que se agrava cuando estas tecnologías de seguimiento son usadas por terceros, las Administraciones públicas deben de evaluar en qué medida su uso puede determinar una recogida o inferencia de información adicional del sujeto y tomar las medidas necesarias para minimizar dicho riesgo. También deben tener en cuenta las actualizaciones entre versiones, que habrán de estar documentadas y sometidas a comprobaciones previas, y como precaución, limitarse a las nuevas versiones que implementen mejoras de interés para el tratamiento.

La AEPD considera que para gestionar este riesgo deberían realizarse auditorías periódicas y un análisis de las inferencias adicionales y efectos colaterales.

CUESTIÓN

¿Qué elementos deberían analizarse en las auditorías periódicas que las Administraciones públicas deben realizar?

Estas auditorías deberían contemplar:

- Los componentes.

- El tipo de datos tratados.

- El destino del tráfico generado por las aplicaciones.

- El grado de vinculación de dicha información con las operaciones del usuario en las Administraciones públicas.

A TENER EN CUENTA. En marzo de 2023, la AEPD ha publicado una Guía de Orientaciones sobre cookies y analítica web en portales de las Administraciones Públicas, y en mayo de 2024 la Guía sobre el uso de la cookies.

Las redes sociales de las Administraciones públicas y el tratamiento de datos personales

Entendemos por redes sociales las plataformas digitales que conectan personas y permiten una difusión de información.

En las redes sociales no se manejan únicamente los datos personales asociados al perfil del usuario que accede, sino que también se realiza un seguimiento de la interacción con el contenido publicado en la red.

A pesar de que las redes sociales no están pensadas inicialmente para su uso por las Administraciones públicas, dado que no es posible tener un control total del contenido de las mismas, sí que son empleadas en ocasiones como medio para difundir información oficial por parte de los perfiles oficiales de los organismos, o por parte de terceros e incluso pueden utilizarse redes sociales cerradas como medio de comunicación interno.

Cuando se usan las redes sociales como medio de comunicación informal entre empleados, la Administración pública debe de tener especial cuidado y definir los límites de usos de redes sociales fuera del entorno personal. Cuando se admite este tipo de comunicación, habrá de hacerse responsable del tratamiento, y cumplir con lo establecido en el RGPD y en el Esquema Nacional de Seguridad regulado en la disposición adicional primera de la LOPDGDD.

CUESTIÓN

¿Pueden los empleados de la Administración pública compartir información sobre su experiencia laboral en la Administración?

La Administración, en su política de información, debe de especificar desde la perspectiva de la protección de datos, la prohibición de realizar el tratamiento de datos personales relativos a la actividad de la entidad a través de perfiles personales en las redes sociales, quedando como responsables del tratamiento los empleados que realicen ese tratamiento ilegítimo.

La Administración pública también puede utilizar las redes sociales como medio para ofrecer información o servicios a los ciudadanos, siempre y cuando no se obligue a estos a tener perfiles en la red social, ya que estas redes utilizan el consentimiento del usuario para llevar a cabo tratamientos adicionales de datos. El consentimiento, tal y como se recoge en el RGPD, debe de ser:

• Informado.
• Específico.
• Consciente.
• Libremente prestado.
• Inequívoco.
• Prestarse en situaciones donde no exista desequilibrio claro entre el interesado y el responsable del tratamiento.

Hay que tener en consideración que todos los servicios proporcionados a través de redes sociales por parte de las Administraciones públicas deben de cumplir con todas las obligaciones impuestas en el RGPD, entre ellas la obligación de informar.

En general, el tratamiento de los datos de los usuarios que ya disponen de cuenta se basará en aquellos necesarios para la ejecución del contrato de servicio o en el consentimiento prestado. En el caso de los datos derivados de la interacción de los ciudadanos con las AA. PP. que cuentan con perfil en redes sociales, la legitimación para el tratamiento de los datos se basa en el cumplimiento de una misión realizada en interés público o en el ejercicio de los poderes públicos conferidos.

CUESTIÓN

¿Qué pasa con las cookies y otras tecnologías de seguimiento utilizadas en las redes sociales?

Cuando las redes sociales utilizan tecnologías de seguimiento, podría considerarse a la Administración pública y a la red social como corresponsables del tratamiento, en función de si la Administración es diligente para conocer dicha circunstancia, y si en caso de conocerlos, tiene opción para limitar o permitir el tratamiento que realiza la red social.

La Administración pública debería disponer de una política de comunicación en redes sociales que refleje los siguientes aspectos en materia de protección de datos:

• Una responsabilidad clara y eficiente en la cadena de responsabilidades de la organización, de forma que la comunicación por redes coincida con la política de comunicación institucional.
• Un documento informativo para los empleados públicos en el que se especifique que pueden hacer y que no en la red social de la Administración.

• Una formación adecuada a las personas que se vayan a encargar de gestionar las redes sociales (publicando contenidos e interactuando con los usuarios), detallando:

  1. Que información personal se puede publicar y cual no.
  2. Como realizar publicaciones con documentos extractados con garantías para no divulgar datos de la firma electrónica, o el código seguro de verificación que permitiría recuperar todo el documento.
  3. La forma de dialogar con los usuarios.
  4. La forma de escalar los mensajes y avisos que contengan datos de carácter personal recibidos a través de la red social y que precisen atención.

Cuando la Administración utiliza las redes sociales para obtener datos estadísticos de los usuarios, tiene que tomar en consideración que debe proporcionar información de los tratamientos cumpliendo con los requisitos que establecen los artículos 13 y 14 del RGPD para cuando los datos personales se obtengan o no del interesado.

También es importante que el uso de técnicas ilícitas como puede ser la compra de seguidores o el abuso de las etiquetas y términos más buscados podría interpretarse como una falta de transparencia y licitud vinculada al incumplimiento del principio de exactitud.

Tras llevar a cabo el diseño del tratamiento a través de redes sociales cumpliendo con los requisitos fijados en el RGPD, hay que proceder a analizar los riesgos que para los derechos y libertades de los ciudadanos se pueden originar para poder gestionarlos.