La Agencia Española de Protección de Datos (AEPD) ha dictado una sanción contra el Gobierno de Castilla-La Mancha por introducir el DNI de sus trabajadores funcionarios en la firma electrónica de su puesto de trabajo. Una acción que, según la Agencia, vulnera el principio de minimización de datos contemplado en el RGPD.
Ante el auge de las nuevas tecnologías, y de los trámites que se realizan de forma digital, cada vez es más importante conocer dónde, y de qué forma, se introducen los datos personales en documentos y plataformas.
Ello, de cara a proteger estos datos personales de intromisiones ilícitas.
Una protección de datos que, ahora, ha llevado a la comunidad autónoma de Castilla-La Mancha a ser sancionada por la AEPD.
Así pues, la agencia descubría «ciertos hechos» que podían constituir una infracción de la Comunidad Autónoma, «en relación con los datos que constan en la firma electrónica que utilizan los funcionarios de la Junta de Comunidades de Castilla-La Mancha en el ejercicio de sus funciones públicas».
«El programa de la firma electrónica incluye los datos correspondientes al nombre y apellidos del funcionario firmante, y su número de DNI», destacaba la Agencia.
Una investigación de la AEPD a la que respondía el Gobierno autonómico, confirmando que, en ese momento, existían «dos portafirmas corporativos» para los empleados de la administración.
«Indican que, cuando un empleado va a firmar un documento en el portafirmas, le aparece una pantalla para que configure la apariencia», siendo el empleado el que «decide qué datos quiere que se vean directamente en la firma de los documentos».
Sin embargo, la comunidad reconoce que lo cierto es que estos datos, aunque no sean «visibles» a simple vista, «siempre serán accesibles a través de la visualización de las propiedades del documento. Funcionalidad de la que disponen todos los lectores de pdf».
El DNI, un dato personal innecesario en la firma electrónica
Un escrito de contestación en el que Castilla-La Mancha reconoce que, en algunos colectivos de funcionarios, por cuestiones de seguridad, se emplean «tarjetas de identificación con números personales», como en el caso de los inspectores.
«De esta forma, se garantiza que en las actas o denuncias no aparecen los datos personales, sino el código asignado», explica ahora la sanción de la AEPD.
Una situación de la que ya informaba, en varias evaluaciones de impacto y análisis de riesgos, la delegada de protección de datos de la comunidad autónoma. Ello, recomendando «la regulación de los códigos de identificación profesional», extendiendo la garantía de seguridad de los empleados públicos en la firma de documentos.
«Una vez identificado el riesgo del tratamiento del dato personal del DNI en la firma electrónica, actualmente, esta Administración se encuentra en fase de estudio de las alternativas tecnológicas con nuestro proveedor de servicios», explicaba el Gobierno regional.
Algo que, sin embargo, no evitaba la sanción por parte de la Agencia. Ello, considerando que Castilla-La Mancha había vulnerado el artículo 5.2 del RGPD, así como el artículo 25.
Así pues, en primer lugar, valora la AEPD que «el uso en la firma de documentos electrónicos del dato relativo al DNI del funcionario constituye un tratamiento excesivo», incumpliendo la normativa de minimización de datos contemplada en el RGPD.
Del mismo modo, la región vulnera el art.25, en relación a la falta de responsabilidad proactiva de la comunidad, debido a la falta de un procedimiento de protección de datos de los funcionarios «desde el diseño», siendo ahora cuando se está buscando una solución.
Vulneración de la protección de datos de los trabajadores públicos ante la que la AEPD da un plazo de 6 meses a la Administración para «adoptar las medidas necesarias» para eliminar el uso del DNI en las firmas electrónicas, garantizando la minimización de datos.
