A CIG ven de presentar denuncia ante a Axencia Española de Protección de Datos (AEPD) contra a Xunta de Galiza e a empresa certificadora AC CAMERFIRMA S.A., propiedade de Banesto, do Consejo Superior de Cámaras de Comercio e de varias cámaras de comercio españolas, que están autorizadas por ti mesmo a usar e tratar os teus datos persoais con fines comerciais ou publicitarios.
A Xunta de Galiza exixe á maioría dos empregados e empregadas do sector público autonómico (DOG 27/05/2011) á obtención e uso da tarxeta criptográfica acreditativa da súa identidade a efectos de control do tempo de traballo, acceso a datos a máis. A negativa a "solicitar" a obtención da tarxeta supón unha sanción disciplinaria, como xa lle ocorreu a algún compañeiro.
As tarxetas conteñen un certificado dixital que, cunha vixencia de tres anos, están actualmente ou ben xa renovadas ou ben pendentes de renovación. A entidade que emite os certificados renovados é a empresa AC CAMERFIRMA S.A., unha sociedade mercantil participada polo Consejo Superior de Cámaras de Comercio, varias Cámaras de Comercio españolas e o grupo bancario Banesto. Anteriormente, os certificados foran xerados pola entidade pública empresarial Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda.
No proceso de solicitude do certificado dixital, sexa novo ou renovado, o usuario é redirixido dende o web da Xunta ao web de AC CAMERFIRMA S.A., onde debe consignar unha serie de datos persoais (nome, apelidos, DNI, correo electrónico, unidade administrativa e cargo), e aceptar as condicións que IMPÓN a empresa. Para a lectura das cláusulas de ditas condicións (que constan de 56 parágrafos, 2.167 palabras), tan só se ofrece unha caixa de texto que non permite visualizar máis de oito liñas, o que dificulta extremadamente a lectura. Unicamente se ofrece a posibilidade de imprimir as condicións no paso posterior, unha vez que xa foi todo aceptado.
Entre as condicións que os empregados e empregadas da Xunta se ven OBRIGADOS a aceptar (exixidos pola Administración para o desempeño do traballo), figuran as seguintes cláusulas de tratamento e cesión de datos a empresas privadas con finalidade comercial ou publicitaria:
"[..] se le informa de que sus datos personales [..] podrán ser utilizados para informarle de aquellos otros productos o servicios ofrecidos por la AC o la AR y la Cámara Oficial de Comercio, Industria, Servicios y Navegación de España relacionados exclusivamente con las actividades que les son propias dentro del sector de promoción de la actividad empresarial ó de las Administraciones Públicas, y que pudieran resultar de su interés [..]
El Titular [empregado] y el suscriptor [Administración], otorgan su consentimiento para que sus datos sean cedidos a la AR y a la Cámara Oficial de Comercio, Industria, Servicios y Navegación de España quienes los tratarán con la finalidad de mantenerles informado sobre sus actividades propias [..]"
A CIG non cuestiona a idoneidade da tarxeta criptográfica como medio para acreditar a identidade do persoal ao servizo do sector público, pero non parece razoable nin proporcionado que a Xunta de Galiza OBRIGUE aos seus empregados e empregadas a ceder os seus datos persoais a unha empresa privada ou a un organismo cameral, máis alá do tratamento que sexa estritamente necesario para a propia prestación do servizo de certificación electrónica.
Neste sentido, o procedemento utilizado pola Xunta e por AC CAMERFIRMA S.A. para solicitar o consentimento para o tratamento e comunicación dos datos non respecta os mínimos de dereito necesarios regulados polo RD 1720/2007, polo que se aproba o Regulamento de desenvolvemento da Lei orgánica 15/1999, de protección de datos de carácter persoal.
"Se o responsábel do tratamento solicitase o consentimento do afectado [..] para finalidades que non garden relación directa [..], deberá permitir ao afectado que manifeste expresamente a súa negativa ao tratamento ou comunicación de datos.”
No caso que nos ocupa, non se permite ao afectado manifestar expresamente a súa negativa. Antes ao contrario, as cláusulas de condicións controvertidas están incorporadas a un documento extenso e de escasa lexibilidade, que ten que ser aceptado integramente polo usuario para poder obter un instrumento de traballo exixido pola propia Administración, so pena de incorrer en responsabilidades disciplinarias.
Os feitos denunciados poden ser constitutivos de infracción moi grave da Lei orgánica de protección de datos de carácter persoal, por implicar "a recollida de datos de forma enganosa ou fraudulenta".
Por conseguinte, a CIG solicitou á AEPD que inicie procedemento sancionador co fin de cortar a actuación sinalada e que mentres, dite medidas provisionais que requiran á Xunta de Galiza e a AC CAMERFIRMA S.A. para que inmediatamente procedan a parar na utilización e cesión ilícita dos datos, así como á eliminación das cláusulas mencionadas.
Como denunciantes, a CIG solicita á AEPD que nos notifique toda actuación e resolución que recaia. Consideramos que polo de agora esta denuncia é abonda, non sendo necesario ningún paso individual.