Cinco millones de DNI por el ciberespacio
Los expertos alertan de la ilegalidad del censo para la consulta elaborado por la Generalitat y subido a Internet
Madrid
Los DNI de los más de 5,5 millones de catalanes supuestamente llamados a votar el próximo domingo en el referéndum independentista han estado deambulando por el ciberespacio, de país en país, de servidor en servidor, sin que los ciudadanos sepan de dónde los ha sacado la Generalitat ni por qué manos han pasado sus datos personales. La Autoridad Catalana de Protección de Datos está ya investigando el origen de ese censo, que según los expertos consultados por EL PAÍS no tiene cobertura legal.
Los expertos coinciden en que, desde el momento en que el Tribunal Constitucional declaró ilegal la consulta y anuló la ley del referéndum, cualquier tratamiento de datos personales que haga la Generalitat amparado en esa convocatoria es ilegal. “La ley dice que las Administraciones solo pueden utilizar los datos para un fin legítimo. Y el referéndum ha sido declarado ilegal”, advierte José Luis Piñar, catedrático de Derecho Administrativo de la Universidad CEU San Pablo y exdirector de la Agencia Española de Protección de Datos (AEPD).
A esta conclusión apunta también un informe de la AEPD que advierte de que la Generalitat no tiene permiso para usar para el referéndum ninguna de las bases de datos estatales. El Govern dispone de medios para acceder al registro de población catalana a través del Instituto Catalán de Estadística (Idescat), pero los expertos sostienen que el uso de esos datos por parte de la Generalitat para crear un censo para el referéndum supondría una violación de las leyes españolas y europeas de protección de datos.
El referéndum no está amparado por la ley electoral (que le permitiría acceder a los datos oficiales del censo) y la Generalitat no puede reutilizar censos ni ficheros anteriores para una finalidad distinta de la que originaron su creación. “La piedra angular de la protección de datos es el conocimiento previo del ciudadano, que este sepa que sus datos se están recogiendo para un fin determinado, algo que no ha ocurrido en este caso”, advierte Arturo Ribagorda, doctor en Informática que asesoró al Ministerio de Justicia en la redacción de la ley estatal de protección de datos.
Finalidad concreta
Samuel Parra, jurista experto en protección de datos, alude “al principio de calidad de datos” recogido en la ley estatal. “La Administración tiene que usar los datos para una finalidad concreta, no vale que los recabe y no se sepa para qué. Este principio impide que cualquier fichero creado para otro fin se use ahora para el referéndum”, señala Parra. “No se me ocurre ninguna posibilidad legal para hacer ese censo que han hecho”, añade.
Para intentar regular el censo, la Generalitat incluyó la creación de un fichero de datos en una disposición adicional de la ley del referéndum, pero al margen de que la norma fuese suspendida por el Constitucional, ese fichero, según la ley, tendría que haberse registrado en la Autoridad Catalana de Protección de Datos y fuentes de este organismo confirman que eso no se ha producido.
A las dudas sobre el origen del censo se suma que la web que lo alojaba (onvotar.garantiespelreferendum.com), puesta en marcha el pasado jueves y cerrada por orden judicial un día después, estaba a nombre de una empresa de Estados Unidos (Cloudflare) y no hay certeza de en qué país está el servidor donde se alojaban los datos. La transferencia internacional de datos requiere una autorización previa salvo cuando el país de destino ofrezca un nivel adecuado de protección, que para España son los de la UE y otro grupo de países, entre ellos Estados Unidos, siempre que la empresa proveedora esté adscrita al llamado escudo de privacidad.
La AEPD ha llegado a la conclusión de que la web del censo se registró a nombre de una empresa ubicada en la isla caribeña de San Cristóbal pero “la máquina” que alojaba los DNI es de una empresa estadounidense adscrita a ese acuerdo de puerto seguro, por lo que, según estos indicios, el Gobierno catalán no habría cometido una ilegalidad añadida al facilitar los datos de sus ciudadanos a empresas en el extranjero.
Los expertos consultados, no obstante, advierten de que el hecho de que sea difícil seguir la pista a los proveedores y servidores que han trabajado con el censo catalán implica una opacidad incompatible con la protección de datos. “Lo cierto es que los ciudadanos catalanes no tienen la certeza de dónde están sus datos, no pueden controlarlos y esta incertidumbre me parece muy grave”, señala José Luis Piñar, que advierte de la “sensibilidad” de la información que compone el censo. “Con un DNI se pueden falsear o robar identidades” recuerda
Para intentar regular el censo, la Generalitat incluyó la creación de un fichero de datos en una disposición adicional de la ley del referéndum, pero al margen de que la norma fuese suspendida por el Constitucional, ese fichero, según la ley, tendría que haberse registrado en la Autoridad Catalana de Protección de Datos y fuentes de este organismo confirman que eso no se ha producido.
A las dudas sobre el origen del censo se suma que la web que lo alojaba (onvotar.garantiespelreferendum.com), puesta en marcha el pasado jueves y cerrada por orden judicial un día después, estaba a nombre de una empresa de Estados Unidos (Cloudflare) y no hay certeza de en qué país está el servidor donde se alojaban los datos. La transferencia internacional de datos requiere una autorización previa salvo cuando el país de destino ofrezca un nivel adecuado de protección, que para España son los de la UE y otro grupo de países, entre ellos Estados Unidos, siempre que la empresa proveedora esté adscrita al llamado escudo de privacidad.
La AEPD ha llegado a la conclusión de que la web del censo se registró a nombre de una empresa ubicada en la isla caribeña de San Cristóbal pero “la máquina” que alojaba los DNI es de una empresa estadounidense adscrita a ese acuerdo de puerto seguro, por lo que, según estos indicios, el Gobierno catalán no habría cometido una ilegalidad añadida al facilitar los datos de sus ciudadanos a empresas en el extranjero.
Los expertos consultados, no obstante, advierten de que el hecho de que sea difícil seguir la pista a los proveedores y servidores que han trabajado con el censo catalán implica una opacidad incompatible con la protección de datos. “Lo cierto es que los ciudadanos catalanes no tienen la certeza de dónde están sus datos, no pueden controlarlos y esta incertidumbre me parece muy grave”, señala José Luis Piñar, que advierte de la “sensibilidad” de la información que compone el censo. “Con un DNI se pueden falsear o robar identidades” recuerda
No hay comentarios:
Publicar un comentario