El Ministerio de Educación vulnerando la ley de protección de datos

El Ministerio de Educación ha establecido un mecanismo para conocer la tramitación de las solicitudes de becas por Internet que no se ajusta a la normativa actual en materia de protección de datos, ni de publicidad de becas, ni a la Ley de acceso electrónico. El sistema permite acceder a información personal (excesiva en todos los casos) de cualquiera que haya solicitado una beca, conociendo tan solo su número de DNI y pudiéndonos remontar a becas de los años 70.

El Ministerio de Educación, política social y deporte, ha creado un sistema para que los ciudadanos que hayan solicitado una beca puedan conocer el estado de la misma, si ha sido denegada o aceptada.

La publicación de información de estos procedimientos, conocidos en el ámbito del derecho administrativo como “procedimientos selectivos o de concurrencia competitiva”, está no solo permitida, sino que es obligatoria.

Así por ejemplo, en el tema que nos interesa, el artículo 18 de la Ley 38/2003 General de Subvenciones, establece que:

“Los órganos administrativos concedentes publicarán en el diario oficial correspondiente, y en los términos que se fijen reglamentariamente, las subvenciones concedidas con expresión de la convocatoria, el programa y crédito presupuestario al que se imputen, beneficiario, cantidad concedida y finalidad o finalidades de la subvención.”

Llegados a este punto podríamos preguntarnos: si la ley ya contempla la obligación de publicar la información sobre las becas ¿por qué va a vulnerar la ley de protección de datos?.

Pues bien, voy a esgrimir varios motivos por los que, en mi opinión, el sistema utilizado por el Ministerio mencionado no respeta, ni ese artículo 18, ni la Ley Orgánica de Protección de Datos, ni la ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicio Públicos.

En primer lugar veamos la web diseñada por el Ministerio correspondiente a las becas: https://www.mepsyd.es/consuindivibecas/Login.do

Como se puede observar, sólo se necesita introducir el NIF para acceder a conocer el estado de tramitación de una beca. Una vez introducido un NIF válido, obtenemos esta pantalla: IMAGEN 1.

La información que arroja el Ministerio es la siguiente: Nombre y apellidos, fecha de nacimiento, estado de la solicitud, tipo de solicitud, y la convocatoria.
Recordemos ahora la información que se supone habría que publicar según el artículo 18 de la Ley General de Subvenciones: “convocatoria, el programa y crédito presupuestario al que se imputen, beneficiario, cantidad concedida y finalidad o finalidades de la subvención“. Vaya, parece que la “fecha de nacimiento” no se encuentra entre esa información.
¿Es realmente necesario publicar la fecha de nacimiento de un solicitante?. Evidentemente no, aportar esa información excesiva supone vulnerar el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD).

Pero sigamos. La LOPD establece en el artículo 4.5 que:

“Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”

Por su parte, el artículo 60.6.b de la Ley 30/1992 indica:

“La publicación, en los términos del artículo siguiente, sustituirá a la notificación surtiendo sus mismos efectos en los siguientes casos:

b) Cuando se trata de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo. En este caso, la convocatoria del procedimiento deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en lugares distintos.”

¿Dónde quiero llegar con todo esto? Pues que si os fijáis, el sistema te permite consultar becas desde 1970 hasta nuestros días, lo que es absolutamente desproporcionado que el Ministerio esté facilitando el acceso a datos de becas concedidas hace más de 30 años, no sólo ya a efectos de protección de datos como hemos visto (mantener accesible esa información hasta 38 años después), sino que tampoco cumple su finalidad de “notificar al interesado” el resultado de su solicitud. El señor que en 1972 solicitó una beca ya tuvo tiempo de enterarse y seguramente se le notificó en su día el resultado. Pero tampoco es necesario remontarnos a 1972; una simple beca concedida hace 4 o 5 años tampoco debería estar ahí.

Continuemos; el artículo 37 de la Ley 11/2007 de acceso electrónico, nos dice:

“En los procedimientos administrativos gestionados en su totalidad electrónicamente, el órgano que tramita el procedimiento pondrá a disposición del interesado un servicio electrónico de acceso restringido donde éste pueda consultar, previa identificación, al menos la información sobre el estado de tramitación del procedimiento, salvo que la normativa aplicable establezca restricciones a dicha información.”

Las solicitudes de becas se han realizado este año íntegramente desde Internet, por lo que ese artículo es de plena aplicación. Ahora bien, ese artículo exige que el acceso para conocer el estado de la tramitación del procedimiento se realice mediante un “acceso restringido” y “previa identificación”. No parece que solicitar el número de NIF se ajuste a un método restringido. Este mecanismo de “identificación” supone vulnerar el artículo 9 de la LOPD y el propio de la Ley 11/2007.

En un caso similar, donde la contraseña de acceso eran las 4 últimas cifras del número del DNI, la Agencia Española de Protección de Datos entendió que:

“… se detalla que desde la página web xxxx se selecciona “Servicio de cesión de asientos”, llevando a la página de servicaixa en la que se visualiza “Cesión de asientos” y se ofrece para entrar “Identificador de usuario: compuesto por el número de socio, más el “código PIN”: que son 4 dígitos, existiendo un apartado en la parte superior titulado “Cómo funciona la venta de entradas”, en el que literalmente se explica “Si eres socio introduce tu clave y pin (4 últimos dígitos del DNI), en caso contrario, hacer clic en el botón de continuar.” Con esta medida, aunque no se esté proporcionando directamente clave de persona alguna, se está circunscribiendo el ámbito identificativo. En tal sentido, puede ser de conocimiento general de todos los socios dicho sistema de acceso, así como de todas las personas que accedan a dicha página. Por ello, la asignación de dichas claves no ofrece la máxima seguridad deseable desde el punto de vista de protección de datos, al asociar unos datos a una clave de acceso, en este caso de prestación de servicios, que puede ser conocida por el público en general.”

La AEPD multó con 3000 euros por tener ese mecanismo de acceso.

Podríamos seguir hablando del asunto, como por ejemplo que no se informó al solicitante de dónde se iban a “colgar” los datos, cuando es requisito necesario; o que para acceder a la cuantía exacta que ha percibido el beneficiario exige introducir los 10 últimos dígitos de la cuenta bancaria correspondiente, método que tampoco sugiere seguridad tal y como ya comentamos aquí.

En definitiva, da la sensación de que la Administración quiere modernizarse y facilitar los trámites al ciudadano para que pueda relacionarse desde Internet, pero no se están teniendo en cuenta ni las normas de protección de datos ni la propia normativa de acceso electrónico, y por supuesto, se está realizando comprometiendo la seguridad de la información.

15 comentarios en “El Ministerio de Educación vulnerando la ley de protección de datos”

  1. Pingback: meneame.net
  2. Pues estoy indignadisimo, porque basta poner el nombre deuna persona en el google y una referencia a su lugar de residencia y aparece el DNI. Tocate los cojones. Y igual de facil es acceder y comprobar sus datos en la pagina del ministerio.

    Responder
  3. Es cierto que las Administraciones Públicas se están esforzando para permitir a los ciudadanos el acceso on-line a gestiones administrativas. Pero, curiosamente, están poniendo muy poco interés en velar por la aplicación de la LOPD o LSSI. Esto parece un tema secundario para ellos y sobre todo si hablamos de Ayuntamientos donde todo cabe.

    Responder
  4. Interesante ejemplo, Samuel, con el que coincido plenamente (http://modernadministracion.blogspot.com/2008/12/proteccin-de-datos-personales-y.html) Creo que, de una vez por todas, debería exigirse que la eficacia de la actividad administrativa no se imponga al respeto de los derechos de los ciudadanos. ¿Tan difícil es hacer compatibles ambos fines? Me temo que el ejemplo que pones no debe ser el único, y que bastaría con que alguien se dedicara a hacer auditorías de seguridad a lo servicios de Administración electrónica para demostrarlo.

    Responder
  5. Pingback: pligg.com
  6. Muy interesante blog! Hace poco leí un reportaje sobre el mismo tema en un portal colombiano dedicado a proveer información electoral y sobre los candidatos en Colombia, especialmente lo relacionado con las elecciones 2010 en Colombia y con los candidatos al congreso y a la presidencia.

    Responder
  7. Se me ocurre otro ejemplo: http://www.premioschavales.es/votar.php?id=24.

    Es una votación para mejor iniciativa privada de unos premios patrocinados por Red.ES.

    Lo increíble es que te pidan el correo electrónico para votar (normalmente con la dirección de IP se resuelven mejor estos casos).

    Y directamente te dicen que recaban tu dirección de correo electrónico para enviarte no sé que boletín, no hay información sobre protección de datos, ni a quién dirigirte.

    ¿No es un incumplimiento total de la normativa de protección de datos?

    Responder

Deja un comentario