martes, 17 de diciembre de 2013

LA GENERALIDAD VALENCIANA Y LA INFORMACIÓN O LA ORGANIZACIÓN DE UN LÍO.

Me temo que esta entrada va a ser un poco extensa ya que pienso apoyarme en bastantes preceptos normativos para que el lector pueda valorar personalmente la cuestión. Cuestión que espero que sea objeto de comentario por Julián Valero en su blog, pues seguro que realizará un tratamiento más técnico que el que yo puedo realizar. La cuestión es que la Conselleria de Hacienda y Administración Pública de la Generalitat Valenciana ha dictado una Orden 19/2013, de 3 de diciembre por la que se establecen normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat. Dado que es anterior a la Ley de Transparencia, acceso a la información pública y buen gobierno y que su contenido puede entrar en contradicción con los principios que mantiene esta ley, hay que analizarla en sus líneas más generales y cada uno que llegue a sus propias conclusiones. 

De todas formas, particularmente, me produce una impresión muy negativa, no porque la seguridad de la información no pueda ser necesaria, sino porque es claro que se dirige principalmente a los funcionarios y empleados públicos y emana, por tanto, un tufillo a protección de los políticos frente a los continuos problemas que les plantea la mala gestión y la antijuricidad de muchas acciones, tratando de evitarla de un modo bastante grosero. Se evidencia que, aunque el sistema que definí en mi última entrada es el de la confianza política, éste se basa por tanto en el de desconfianza hacía cualquiera que no se pueda controlar a través de dicho sistema de confianza y por nombramientos, retribuciones y carrera. Hay que evitar filtraciones a la oposición o a la prensa. La confianza política de hoy es la desconfianza política de mañana. Pero como de esto habría mucho que hablar, vamos a ver algunos contenidos de la Orden y luego alguno de los de la Ley de Transparencia, pese a ambigüedades y generalizaciones de ambas.


En el segundo párrafo del preámbulo de la Orden citada se dice:

La seguridad de la información tiene como objetivo proteger la información tratada y los servicios que se prestan, reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. Dentro de cada organización solo sus máximos directivos tienen las competencias necesarias para fijar dicho nivel, ordenar las actuaciones y habilitar los medios para llevarlas a cabo.

En principio, pues, no distingue el tipo de información por lo que hay que apreciar una sensible generalización. Seguimos con el contenido de los párrafos cuarto y quinto por si nos ofrecen más concreción:

El Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat, en el ámbito de la Administración de la Generalitat y de sus entidades autónomas, indica que la política se desarrollará en un conjunto de documentos cuyo objetivo es facilitar que el tratamiento de información se realice de acuerdo con los objetivos y principios expuestos en la misma; y que estos se agruparán en tres colecciones: normas, procedimientos y guías de buenas prácticas. Las normas proporcionarán un primer nivel de concreción; cada una de ellas estará dirigida a un tipo de actividad determinado. Los procedimientos describirán la secuencia concreta de pasos para completar una tarea. Las guías de buenas prácticas ofrecerán recomendaciones sobre cómo actuar en situaciones específicas. Las normas y procedimientos tendrán carácter obligatorio.

El objeto de la presente disposición es regular la norma de uso seguro de los medios tecnológicos que forman parte de los sistemas de información de la Administración de la Generalitat, con el fin de minimizar la probabilidad de la materialización de las amenazas que ponen en riesgo la seguridad de los sistemas de información.

Si se atiende a lo que se refiere a la finalidad del Decreto que se menciona sólo se recoge cómo será el desarrollo de la política de seguridad. En su artículo 3 el mencionado decreto refleja lo siguiente:

Artículo 3 La seguridad como proceso integral

1. La seguridad de la información es el resultado de un proceso que depende de todos y cada uno de los elementos humanos, técnicos, materiales y organizativos que intervienen en el tratamiento. Quienes participen en cualquier fase del tratamiento deberán responder, en la medida de sus responsabilidades, de la seguridad y buen uso de la información. De manera especial, deberán colaborar en la prevención, detección y control de los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas.

2. La Generalitat, a través de los distintos agentes con responsabilidades específicas en materia de seguridad de la información, se encargará de proporcionar los canales de participación adecuados que hagan efectiva la colaboración mencionada en el apartado anterior. Del mismo modo, la Generalitat se ocupará de mantener permanentemente informados, a todos los destinatarios de esta política, del propósito y contenido de la misma, así como de los documentos que la desarrollan y de los canales de participación habilitados.

3. El proceso de gestión de la seguridad de la información deberá estar sometido a monitorización, control y mejora continuos para confirmar su eficacia ante la constante evolución de los riesgos y de los sistemas de protección. 

En principio, pues, se trata de evitar la negligencia, fallos técnicos y de organización, coordinación o instrucciones inadecuadas, cuestión a la que, en principio no cabe oponer nada. Pero en cambio la Orden hace una referencia a las posibles amenazas que ponen en riesgo la seguridad de los sistemas de información.  En el Anexo de la Orden que contiene el glosario consta: AMENAZA: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Dos conceptos pueden ser criticables y extenderse más allá de lo racional, los de incidente en la organización y pérdidas inmateriales en sus activos. Piensen en la interpretación "política" del primero y traten de desentrañar el segundo. La cuestión de las amenazas es materia importante del contenido del artículo 1:

Artículo 1 Objeto
La presente orden tiene por objeto regular la norma de uso seguro de los medios tecnológicos que forman parte de los sistemas de información de la Administración de la Generalitat, con el fin de minimizar la probabilidad de la materialización de las amenazas que ponen en riesgo la seguridad de los sistemas de información.

A quién se dirige la Orden lo exponen los artículos 2 y 3:

Artículo 2 Ámbito de aplicación

1. En el ámbito de la presente normativa, se entiende por usuario a cualquier persona que utilice o posea acceso a los medios tecnológicos puestos a su disposición por la Administración de la Generalitat.

2. Las normas enunciadas en la presente orden serán de obligado cumplimiento para todos los usuarios definidos en el punto anterior.

3. Sus contenidos desarrollan las directrices de carácter general definidas en la política de seguridad de la información, teniendo en cuenta que se podrán definir normas restrictivas en ciertos ámbitos específicos que lo precisen.

Artículo 3 Principio general de actuación
La seguridad de la información depende de todas las personas que participan en su tratamiento y compromete a todas las que integran la organización. Todos los usuarios se comprometen a hacer un uso correcto de todos los activos que requieran para el desarrollo de sus funciones, a respetar las medidas de seguridad que se establezcan y a notificar lo antes posible a los responsables que corresponda de los eventos y puntos débiles de la seguridad de la información que detecten, de manera que puedan emprenderse las acciones oportunas.

Creo que es evidente que la norma se dirige materialmente y principalmente a los funcionarios y empleados públicos, sin perjuicio de los altos cargos.

El artículo 5 se ocupa ya de la información y su tratamiento y hay que ver si de él podemos extraer algo respecto de la información a la que alcanza la Orden:

Artículo 5 Tratamiento de la información

1. La Administración de la Generalitat será responsable del tratamiento de la información en cualquier medio tecnológico que forme parte de sus sistemas de información y redes de comunicaciones, y adoptará las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos.

2. Quienes por razón del ejercicio de sus funciones accedan a información que no sea de acceso público, deberán observar la necesaria reserva, confidencialidad y sigilo, incluso después de haber cesado en sus funciones o finalizado la relación contractual o laboral.

3. Quienes traten información que no haya sido clasificada de acceso público, deberán estar debidamente identificados y tener los privilegios de acceso a la información estrictamente imprescindibles para desempeñar su cometido.

4. Queda prohibido, asimismo, transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos, salvo autorización expresa del organismo responsable del tratamiento de la información, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre la Administración de la Generalitat y la empresa responsable de la prestación del servicio, incluyendo los acuerdos de nivel de servicio que procedan, el correspondiente acuerdo de confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.

El punto 3 del artículo suscita la cuestión de si es que hay que clasificar a las informaciones que son de acceso público, pues, salvo ignorancia de mi parte, me parece que el sistema es el contrario; es decir, clasificar lo que no es de acceso público de acuerdo con los principios y prohibiciones establecidas legalmente. De otro modo parecería que no se puede acceder a nada que no haya sido clasificado como de acceso público.

Creo que una última cuestión a destacar de la Orden es la del propietario de los medios tecnológicos, regulado en el siguiente artículo:

Artículo 6 Propiedad y uso de los medios tecnológicos

1. Todos los medios tecnológicos puestos a disposición de los usuarios: ordenadores personales y portátiles, aplicaciones, programas, sistemas de impresión y escaneo de documentos, dispositivos móviles, el acceso a la red corporativa y a internet, son propiedad de la Administración de la Generalitat.

2. La Administración de la Generalitat le proporcionará a cada usuario un puesto de trabajo con los medios tecnológicos necesarios para el desempeño de las funciones encomendadas.

3. Dichos medios no están destinados al uso personal, y no podrán utilizarse para actividades ilícitas o irregulares, o que afecten negativamente al funcionamiento de la Administración de la Generalitat o sean contrarias a los intereses de esta.

4. Está prohibido alterar, sin la debida autorización, cualquiera de los componentes físicos o lógicos de los medios tecnológicos, salvo autorización expresa del organismo con competencias en tecnologías de la información. En todo caso, estas operaciones solo podrán realizarse por el personal de soporte técnico autorizado.

5. La instalación, utilización o conexión a la red corporativa de cualquier medio tecnológico ajeno, requerirá una autorización previa por parte del órgano competente en materia de tecnologías de la información que corresponda.

6. Está estrictamente prohibida la ejecución de programas informáticos en los medios tecnológicos que forman parte de los sistemas de información de la Administración de la Generalitat sin la correspondiente licencia de uso y autorización correspondiente del organismo con competencias en tecnologías de la información.

7. Está terminantemente prohibida toda transmisión, distribución o almacenamiento de cualquier material obsceno, difamatorio, amenazador o que constituya un atentado contra la dignidad de las personas.

En el anexo queda descrito del siguiente modo la expresión información sensible:

INFORMACIÓN SENSIBLE: aquella, así definida por su propietario, que debe ser especialmente protegida, pues su revelación, alteración, pérdida o destrucción puede producir daños importantes a alguien o a algo.

De este modo queda indefinido lo que es información sensible, pues, depende del propietario y su compleja organización y alcanza a daños importantes producidos a cualquiera. ¿será sensible la información que afecte negativamente a un político en su carrera o valoración? Me vienen a la memoria algunos casos que prefiero no mencionar, pero que indudablemente pueden provocar órdenes como la que contemplamos.

Pero el problema es que esta Orden se pública poco antes que la Ley de Transparencia, acceso a la información pública y buen gobierno y que, como he dicho, estimo que presenta preceptos muy discutibles ante el contenido de dicha ley . Analicen estos artículos de la Ley de Transparencia y su contenido y comparen.

En el preámbulo se dice: La Ley también regula el derecho de acceso a la información pública que, no obstante, ya ha sido desarrollado en otras disposiciones de nuestro ordenamiento. En efecto, partiendo de la previsión contenida en el artículo 105.b) de nuestro texto constitucional, la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, desarrolla en su artículo 37 el derecho de los ciudadanos a acceder a los registros y documentos que se encuentren en los archivos administrativos. Pero esta regulación adolece de una serie de deficiencias que han sido puestas de manifiesto de forma reiterada al no ser claro el objeto del derecho de acceso, al estar limitado a documentos contenidos en procedimientos administrativos ya terminados y al resultar su ejercicio extraordinariamente limitado en su articulación práctica.

Igualmente, pero con un alcance sectorial y derivado de sendas Directivas comunitarias, otras normas contemplan el acceso a la información pública. Es el caso de la Ley 27/2006, de 18 de julio, por la que se regulan los derechos de acceso a la información, de participación pública y de acceso a la justicia en materia de medio ambiente y de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, que regula el uso privado de documentos en poder de Administraciones y organismos del sector público. Además, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, a la vez que reconoce el derecho de los ciudadanos a relacionarse con la Administración por medios electrónicos, se sitúa en un camino en el que se avanza con esta Ley: la implantación de una cultura de transparencia que impone la modernización de la Administración, la reducción de cargas burocráticas y el empleo delos medios electrónicos para la facilitar la participación, la transparencia y el acceso a la información.

Creo que es indudable que parte de las deficiencias pueden encontrarse en la concepción hoy del expediente como sólo los documentos en papel que llegan a conformar el expediente final y no considerar los soportes tecnológicos de los que parten o en los que se configuran o, también, la anulación de notas, comunicaciones, diligencias o informes que se eliminan del expediente y que según la Orden valenciana son fáciles de eliminar o eso se puede pretender.

Más adelante, el prámbulo sobre el acceso a la información nos dice: El capítulo III configura de forma amplia el derecho de acceso a la información pública, del que son titulares todas las personas y que podrá ejercerse sin necesidad de motivar la solicitud. Este derecho solamente se verá limitado en aquellos casos en que así sea necesario por la propia naturaleza de la información –derivado de lo dispuesto en la Constitución Española– o por su entrada en conflicto con otros intereses protegidos. En todo caso, los límites previstos se aplicarán atendiendo a un test de daño (del interés que se salvaguarda con el límite) y de interés público en la divulgación (que en el caso concreto no prevalezca el interés público en la divulgación de la información) y de forma proporcionada y limitada por su objeto y finalidad. Asimismo, dado que el acceso a la información puede afectar de forma directa a la protección de los datos personales, la Ley aclara la relación entre ambos derechos estableciendo los mecanismos de equilibrio necesarios. Así, por un lado, en la medida en que la información afecte directamente a la organización o actividad pública del órgano prevalecerá el acceso, mientras que, por otro, se protegen –como no puede ser de otra manera– los datos que la normativa califica como especialmente protegidos, para cuyo acceso se requerirá, con carácter general, el consentimiento de su titular.

Estos son hoy claros condicionantes a la Orden valenciana y a las posibles interpretaciones del propietario o Administración de la Generalitat.

En el artículo 5 puntos 2, 3 y 4 se expone que:

2. Las obligaciones de transparencia contenidas en este capítulo se entienden sin perjuicio de la aplicación de la normativa autonómica correspondiente o de otras disposiciones específicas que prevean un régimen más amplio en materia de publicidad.
3. Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.
4. La información sujeta a las obligaciones de transparencia será publicada en las correspondientes sedes electrónicas o páginas web y de una manera clara, estructurada y entendible para los interesados y, preferiblemente, en formatos reutilizables. Se establecerán losmecanismos adecuados para facilitar la accesibilidad, la interoperabilidad, la calidad y la reutilización de la información publicada así como su identificación y localización.

La normativa valenciana sólo puede persistir cuando no restrinja la publicidad más allá de los principios de esta norma estatal. Con respecto a la información la Ley mantiene lo siguiente

Artículo 12. Derecho de acceso a la información pública.
Todas las personas tienen derecho a acceder a la información pública, en los términos previstos en el artículo 105.b) de la Constitución Española, desarrollados por esta Ley.
Asimismo, y en el ámbito de sus respectivas competencias, será de aplicación la correspondiente normativa autonómica.
Artículo 13. Información pública.
Se entiende por información pública los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de alguno de los sujetos incluidos en el ámbito de aplicación de este título y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones.
Artículo 14. Límites al derecho de acceso.
1. El derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para:
a) La seguridad nacional.
b) La defensa.
c) Las relaciones exteriores.
d) La seguridad pública. 
e) La prevención, investigación y sanción de los ilícitos penales, administrativos o 
disciplinarios.
f) La igualdad de las partes en los procesos judiciales y la tutela judicial efectiva.
g) Las funciones administrativas de vigilancia, inspección y control.
h) Los intereses económicos y comerciales.
i) La política económica y monetaria.
j) El secreto profesional y la propiedad intelectual e industrial.
k) La garantía de la confidencialidad o el secreto requerido en procesos de toma de 
decisión.
l) La protección del medio ambiente.
2. La aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso.
3. Las resoluciones que de conformidad con lo previsto en la sección 2.ª se dicten en aplicación de este artículo serán objeto de publicidad previa disociación de los datos de carácter personal que contuvieran y sin perjuicio de lo dispuesto en el apartado 3 del artículo 20, una vez hayan sido notificadas a los interesados.

Sobre el buen gobierno la Ley mantiene los siguientes principios;

Artículo 26. Principios de buen gobierno.
1. Las personas comprendidas en el ámbito de aplicación de este título observarán en el ejercicio de sus funciones lo dispuesto en la Constitución Española y en el resto del ordenamiento jurídico y promoverán el respeto a los derechos fundamentales y a las libertades públicas.
2. Asimismo, adecuarán su actividad a los siguientes:
a) Principios generales:
1.º Actuarán con transparencia en la gestión de los asuntos públicos, de acuerdo con los principios de eficacia, economía y eficiencia y con el objetivo de satisfacer el interés general.
2.º Ejercerán sus funciones con dedicación al servicio público, absteniéndose de cualquier conducta que sea contraria a estos principios.
3.º Respetarán el principio de imparcialidad, de modo que mantengan un criterio independiente y ajeno a todo interés particular.
4.º Asegurarán un trato igual y sin discriminaciones de ningún tipo en el ejercicio de sus funciones.
5.º Actuarán con la diligencia debida en el cumplimiento de sus obligaciones y fomentarán la calidad en la prestación de servicios públicos.
6.º Mantendrán una conducta digna y tratarán a los ciudadanos con esmerada corrección.
7.º Asumirán la responsabilidad de las decisiones y actuaciones propias y de los organismos que dirigen, sin perjuicio de otras que fueran exigibles legalmente.
b) Principios de actuación:
1.º Desempeñarán su actividad con plena dedicación y con pleno respeto a la normativa reguladora de las incompatibilidades y los conflictos de intereses. 
2.º Guardarán la debida reserva respecto a los hechos o informaciones conocidos con motivo u ocasión del ejercicio de sus competencias.
3.º Pondrán en conocimiento de los órganos competentes cualquier actuación irregular de la cual tengan conocimiento.
4.º Ejercerán los poderes que les atribuye la normativa vigente con la finalidad exclusiva para la que fueron otorgados y evitarán toda acción que pueda poner en riesgo el interés público o el patrimonio de las Administraciones.
5.º No se implicarán en situaciones, actividades o intereses incompatibles con sus funciones y se abstendrán de intervenir en los asuntos en que concurra alguna causa que pueda afectar a su objetividad.
6.º No aceptarán para sí regalos que superen los usos habituales, sociales o de cortesía, ni favores o servicios en condiciones ventajosas que puedan condicionar el desarrollo de sus funciones. En el caso de obsequios de una mayor relevancia institucional se procederá a su incorporación al patrimonio de la Administración Pública correspondiente.
7.º Desempeñarán sus funciones con transparencia.
8.º Gestionarán, protegerán y conservarán adecuadamente los recursos públicos, que no podrán ser utilizados para actividades que no sean las permitidas por la normativa que sea de aplicación.
9.º No se valdrán de su posición en la Administración para obtener ventajas personales o materiales.
3. Los principios establecidos en este artículo informarán la interpretación y aplicación del régimen sancionador regulado en este título.

Valoren la norma valenciana de acuerdo con estos principios. Creo que al efecto pondré una encuesta que pueden responder si quieren. A mí con estas cosas que pasan en la Comunidad Valenciana me queda una triste impresión general, pero además creo que nuestra Administración se ha impregnado de un espíritu creativo "artístico" y fallero que nos lleva al ridículo y a la indignidad profesional. Pero es que la dependencia hoy es total. Sea como sea esta nueva Ley estatal es seguro que nos va a ofrecer, por sus principios, mucho material para el comentario.

No hay comentarios:

Publicar un comentario

Translate

Entrada destacada

Estoy aturdido, pasmado, estupefacto, alterado e indignado. Todo esto siento tras ver este informativo de la TVE en la Comunidad Valenciana...