Administración digital y protección de datos: tensiones, desafíos y garantías en la era de la transparencia

La administración electrónica no es solo un cambio de soporte, es un giro de mentalidad. Cada vez que entras en un portal y haces un clic, dejas un rastro que sirve tanto para auditar como para vigilar. Esa supuesta eficiencia que nos prometen trae consigo también una fragilidad que no siempre se cuenta.

1) La administración electrónica como oportunidad y riesgo

Los portales digitales son cómodos, sí: puedes hacer trámites desde casa sin esperar colas. Pero ojo, esa comodidad convierte al ciudadano en alguien que siempre está siendo registrado. Y no todos estamos dispuestos a vivir en esa especie de escaparate permanente.

Ya lo decía Valero Torrijos hace años: la eficacia administrativa nunca es neutral. Cuanto más digital es el sistema, más grande se hace la asimetría con la ciudadanía. Y aquí viene mi opinión: ese poder sin contrapesos se vuelve peligroso. Un fallo en papel podía corregirse rápido; en digital, un error se clona a lo grande. La eficiencia tiene un precio y no siempre se nos avisa.

2) Transparencia y exposición

La transparencia suena fantástica en democracia: “más datos, más confianza”. Pero seamos sinceros, la transparencia absoluta roza el exhibicionismo. ¿De verdad necesitamos listados con nombres completos circulando por internet? Lo que se pensaba como un servicio público, muchas veces termina rompiendo la confianza social.

Cerrillo ya alertaba de que la rendición de cuentas puede volverse espectáculo. Y tiene razón. Si queremos portales útiles, no podemos desnudar al ciudadano. La transparencia está bien, pero siempre con mesura. La dignidad personal vale más que unos clics de más en un buscador.

3) El marco europeo de referencia

Europa lleva años poniéndonos normas para recordar que la privacidad no es un lujo, es un derecho. El RGPD fue un punto de inflexión: ya no basta con papeles, ahora hay que demostrar cada decisión tecnológica. Y, la verdad, eso incomoda a más de una administración que preferiría seguir en automático.

Lo bueno es que ese cambio nos obliga a tomarnos la privacidad en serio, como un hábito diario, no como una nota al pie.

4) Nuevas capas regulatorias

El RGPD es la base, pero lo rodea un ecosistema de normas que marean: ENS, Data Act, AI Act… A veces parece un sudoku jurídico. Sin embargo, hay una idea clara: ya no vale decir “no lo sabía”.

El AI Act, por ejemplo, pide que los algoritmos sean auditables. Y aquí está la clave: si un algoritmo reparte becas, no puede ser una caja negra. El ciudadano tiene derecho a entender qué pasa dentro. Me mojo: quien teme a la transparencia en algoritmos, algo tiene que ocultar.

5) Encargados y proveedores

Externalizar servicios tecnológicos está bien, pero no te exime de responsabilidad. Si una administración contrata un proveedor y luego se desentiende, lo único que consigue es multiplicar las brechas.

La APDCAT lo deja claro: el responsable último sigue siendo la administración. Delegar no es desentenderse. Y el ciudadano no debería pagar la factura de la negligencia institucional.

6) Educación y menores

Los menores son siempre los más expuestos. Publican sin medir consecuencias, y el problema es que muchas veces ni los adultos sabemos guiarlos. Aquí es donde entran programas como CLI–PROMETEO: enseñar desde contraseñas hasta cómo reaccionar frente al ciberacoso.

El RGPD ya pone condiciones especiales, pero seamos realistas: si la interfaz no es comprensible para un chaval de 13 años, algo falla en el diseño. Educar no es burocracia, es prevención.

7) Datos sanitarios

El caso VISC+ nos enseñó algo incómodo: el anonimato total es un espejismo. Siempre hay riesgo de reidentificación. Y si cruzas varias bases de datos, ese riesgo se dispara.

La medicina personalizada necesita datos, pero ¿hasta qué punto puede el paciente convertirse en un libro abierto? Aquí toca ser claros: la ciencia avanza, pero no a costa de la dignidad.

8) Smart cities

Las ciudades inteligentes suenan modernas: sensores, cámaras, datos para gestionar mejor el tráfico. El problema es que, si no hay límites, acabamos en un panóptico urbano con forma de semáforo.

La APDCAT lo repite: privacidad desde el diseño. Porque sí, queremos innovación, pero nadie quiere vivir en una ciudad que lo vigila hasta cuando cruza un paso de cebra.

9) Privacidad por diseño

La privacidad por defecto no es postureo legal, es cultura. Significa pensar en la protección desde el inicio. No como un parche, sino como parte del ADN de los sistemas.

Ejemplos hay muchos: portales que solo piden lo mínimo o expedientes escolares anonimizados. Lo curioso es que, cuando se hace bien, la gente ni lo nota. Y ahí está la gracia: la ética se convierte en buena ingeniería.

10) Buenas prácticas

Hay unas reglas básicas que deberían estar tatuadas en la piel de cualquier administración: recoger solo los datos necesarios, fijar plazos de conservación, exigir contratos duros a proveedores, evaluar impactos, configurar la privacidad por defecto y auditar desde fuera.

¿Suena técnico? Puede, pero en realidad hablamos de política pura. Así es como el Estado demuestra que respeta a su ciudadanía.

11) Tensiones inevitables

Transparencia contra privacidad, eficiencia contra justicia… Estas tensiones son inevitables. Y hay que decirlo: no existe un equilibrio eterno. Cada decisión abre un nuevo frente. Lo importante es tener claro hacia dónde inclinamos la balanza.

12) Conexiones y aprendizajes cruzados

Aquí está lo interesante: los textos académicos abren debates, las instituciones intentan responder y las escuelas convierten todo eso en hábitos. Ninguna capa basta sola. La clave está en el diálogo entre todas.

Si falta esa coherencia, el sistema se convierte en un puzzle a medio montar.

13) Retos futuros

La inteligencia artificial en la administración multiplica los riesgos. No es paranoia: un algoritmo mal diseñado puede decidir becas o ayudas de manera injusta. Y aunque el AI Act pide transparencia, todos sabemos lo fácil que es caer en la tentación de usar cajas negras.

Lo mismo con la identidad digital europea: práctica, sí, pero también un caramelo para los hackers. Si falla, falla todo. Aquí no vale racanear en seguridad.

14) Correo electrónico en el trabajo

El correo electrónico sigue siendo la herramienta estrella en oficinas y administraciones. Pero ojo: no es solo un buzón digital, también es un escaparate de cómo tratamos la información. Un mal uso puede abrir la puerta a filtraciones o, peor aún, a sanciones.

Un par de recomendaciones básicas:

  • Revisa siempre los destinatarios. Ese “responder a todos” puede meterte en un lío si compartes datos sensibles con quien no toca.

  • Evita adjuntar documentos con información personal sin necesidad. Y si no queda otra, mejor protégelos con contraseña.

  • No mezcles lo laboral con lo personal. Usar el correo del trabajo para temas privados acaba siendo un riesgo (y además suele estar prohibido).

¿Y qué pasa con firmar o cifrar los correos? Pues depende del nivel de seguridad que necesites:

Firmar digitalmente sirve para demostrar que el mensaje viene de ti y no ha sido manipulado por el camino. En trámites oficiales o comunicaciones con valor jurídico, es más que recomendable.

Cifrar los correos garantiza que solo el destinatario pueda leer el contenido. No hace falta para todo, pero si trabajas con datos de salud, nóminas o expedientes disciplinarios, el cifrado debería ser la norma.

15) Cámaras de seguridad y videovigilancia

Las cámaras de seguridad están por todas partes: en la entrada del metro, en la oficina y hasta en la comunidad de vecinos. Y ojo, grabar imágenes no es gratis en términos de privacidad. Cada vez que una cámara te enfoca, se están tratando datos de carácter personal (sí, tu cara cuenta como dato).

La normativa dice que las cámaras solo pueden usarse para lo que se ha autorizado (normalmente, seguridad). No vale aquello de poner una cámara “por si acaso” y luego aprovecharla para otros fines. Además, la gente tiene que saber que está siendo grabada: de ahí los famosos carteles amarillos con el icono de la cámara.

Si la cámara también recoge sonido, la cosa se complica más: el nivel de intrusión es mayor y solo puede justificarse en casos muy concretos. Y lo más importante: las grabaciones no se pueden guardar eternamente; pasado un tiempo razonable (en muchos casos, un mes), deben borrarse.

Derechos ARCO

Los famosos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), te los explico como si estuviéramos tomando un café:

  • Acceso: Básicamente significa que puedes preguntar: “¿Qué datos míos tienes?”. Y la empresa o administración está obligada a enseñártelos. Es como mirar el inventario de tu propia información.

  • Rectificación: Si ves que algo está mal (una dirección vieja, un error en tu fecha de nacimiento, lo que sea), puedes decir: “Oye, corrige esto”. Y no es un favor, es tu derecho.

  • Cancelación: Aquí hablamos de borrar. Si una entidad ya no necesita tus datos para lo que los recogió, puedes pedir que los elimine. Ojo: no siempre te los pueden borrar (por ejemplo, en historiales médicos o datos fiscales tienen que guardarlos por ley).

  • Oposición: Este es el “no quiero que uses mis datos para esto”. El típico ejemplo: que una empresa tenga tus datos porque compraste algo, pero no quieres que te bombardeen con publicidad. Entonces dices: “me opongo” y deberían parar.

Básicamente los ARCO son como un mando a distancia sobre tus datos personales. Te permiten verlos, corregirlos, borrarlos (cuando toca) o poner un stop a ciertos usos. Y la gracia está en que no tienes que dar mil explicaciones: basta con pedirlo y la empresa o administración tiene que responder en plazo.

Normativa

Normativa reguladora de la Autoridad

  • Estatuto de autonomía de Cataluña (arts. 4.1, 15, 20, 23, 27, 28, 30, 31, 76, 78, 156, 182.3) (DOGC núm. 4680, de 20.07.06)

  • Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos (DOGC núm. 5731, de 8.10.2010)

  • Decreto 48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos (DOGC núm. 3835, de 04.03.2003)

Normativa estatal

  • Constitución española (arts. 10, 14, 16, 18, 20, 53 y 105)

  • Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (BOE núm. 298, de 14.12.1999)

  • Real decreto 1720/2007, de 21 de diciembre, de protección de datos de carácter personal (BOE núm. 17, de 19.01.2008)

El Consejo Asesor de Protección de Datos

Detrás de la Autoridad Catalana de Protección de Datos no solo está el equipo que trabaja en el día a día, también hay un órgano que hace de brújula: el Consejo Asesor. Su misión es aportar criterio, dar opiniones independientes y, en definitiva, vigilar que las decisiones de la Autoridad no se tomen en el vacío.

Algunas de sus funciones más relevantes son:

  • Proponer al Parlamento quién debería ser la persona que dirija la Autoridad.

  • Revisar y opinar sobre las instrucciones que la APDCAT quiera aprobar.

  • Analizar el presupuesto anual antes de que salga adelante.

  • Asesorar al director o directora de la Autoridad en cualquier tema que se le plantee.

  • Informar sobre la plantilla de personal, tanto fija como eventual.

  • Y, además, elaborar estudios y recomendaciones sobre cómo mejorar la protección de datos en Cataluña.

Dicho claro: el Consejo Asesor no ejecuta, pero sí marca el rumbo. Es como ese grupo de personas que, con perspectiva y experiencia, ponen sobre la mesa lo que a veces desde dentro cuesta ver.

Nuestro cierre

La administración digital está reescribiendo el contrato social. Cada decisión sobre datos marca la calidad de nuestra democracia. Y, te guste o no, la confianza es más frágil que cualquier sistema informático.

La rapidez importa, pero la justicia importa más. Al final, la democracia digital no se medirá por la velocidad de sus trámites, sino por cómo respeta la intimidad de quienes están al otro lado de la pantalla.