Tomás Avila, delegado de Protección de Datos en el Ayuntamiento de Ayamonte

Comparte la noticia

“Sin la empresa privada de la mano, si la Administración Pública intenta innovar por su cuenta, siempre llegará tarde”

Desde el Ayuntamiento de Ayamonte, en Huelva, Tomás Avila vela por la privacidad y seguridad de los datos que el consistorio maneja en su día a día, especialmente los más sensibles: los de los ciudadanos.

Considera que la estrategia de ciberseguridad de cualquier organismo público es esencial, debe ser transversal y, sobre todo, debe contemplar la formación y concienciación del empleado.

Hablamos con él de ciberseguridad pero también de innovación, de talento y de cómo la colaboración público-privada es la única forma de caminar hacia una Administración Pública moderna e inteligente.

La privacidad de los datos del ciudadano

-Usted es el responsable de Protección de Datos del Ayuntamiento de Ayamonte. ¿Qué peso tiene la privacidad en el día a día del Consistorio?

La verdad es que para el Ayuntamiento de Ayamonte, al tratarse de una administración local, la privacidad tiene un peso importante. Cabe destacar el gran número de trámites diferentes que se realizan a diario y por cada trámite, bien sea el origen un ciudadano o una empresa, siempre hay un flujo de datos personales importante circulando por los diferentes departamentos o áreas.

Como Administración Pública actuamos como responsables y encargados del tratamiento de esos datos personales en el desarrollo de las diversas actividades diarias.

-¿Cómo gestiona esa protección de datos? ¿Qué volumen y tipo de datos protegen?

Para gestionar la protección de datos, lo primero que hicimos fue crear el “famoso” registro de tratamientos, disponible para su consulta pública en nuestra sede electrónica. A partir de dicho registro, identificamos con precisión las finalidades y la base jurídica de los tratamientos que llevamos a cabo en el Ayuntamiento de Ayamonte. En las administraciones locales, lo habitual es que la base jurídica a utilizar sea el “cumplimento de una tarea en interés público o el ejercicio de poderes públicos”.

Otro punto muy importante es que la base jurídica de los tratamientos sea el consentimiento, en este caso «nos cuidamos mucho» de informar muy bien sobre para qué queremos recoger los datos personales, así los interesados podrán manifestar su voluntad de cesión de los datos mediante una clara acción afirmativa.

«Nos cuidamos mucho» de informar muy bien sobre para qué queremos recoger los datos personales

Informamos de forma concisa, transparente, inteligible y facilitamos el acceso a dicha información, con un lenguaje claro y sencillo en todas nuestras solicitudes, ya sean en papel como a través de formularios en nuestra sede electrónica.

Tenemos en nuestra sede electrónica, como trámite destacado, el ejercicio de derechos. Cualquier ciudadano o empresa pueden limitar el tratamiento en cualquier momento de la vida del trámite que estar realizando con nuestra Administración. También tenemos establecidos procedimientos de respuesta al ejercicio de derechos, para ajustarnos a los plazos previstos por la LOPDGDD.

En el caso de los encargos de tratamientos con los que se vaya a contratar, ofrecemos todas las garantías necesarias para esas operaciones de tratamientos. Hemos adecuado todos nuestros contratos de encargo para cumplir con la LOPDGDD.

Adicionalmente, realizamos análisis de riesgos, de todos los tratamientos de datos que tenemos y revisamos las medidas de seguridad que debemos aplicar. También hacemos auditorías periódicas para identificar la existencia de violaciones de seguridad de los datos, dando traslado de las mismas en un corto periodo de tiempo a la autoridad competente, en nuestro caso el Consejo de Transparencia y Protección de Datos de Andalucía.

Utilizamos la herramienta que pone a nuestra disposición dicho órgano competente para la realización de Evaluaciones de Impacto sobre la protección de datos que supongan un alto impacto sobre los derechos y libertades de los interesados.

Los datos que protegemos son datos personales, económicos, sociales, datos sensibles, etc… Dada la variedad de trámites que realizamos en los diferentes departamentos o áreas y un gran volumen ya que la media mensual registros de entrada está en aproximadamente 2.000 registros y cada uno lleva asociado cómo mínimo un interesado que solicita un trámite.

-Una estrategia de ciberseguridad y privacidad es uno de los pilares de cualquier área de TI actualmente pero ¿considera que tiene que ser algo transversal a todo el organismo?

Efectivamente, tiene que ser algo transversal a todo el organismo ya que hay que tener en cuenta que el eslabón más débil de cualquier organización suele ser el propio empleado.

Por ello, toda estrategia de ciberseguridad y privacidad debe partir de la formación y concienciación del empleado; de otro modo no suele ser efectiva, a parte de tomar las medidas necesarias para hacer segura la organización tanto internamente como externamente.

Transparencia en el uso de la información

-En cuanto a esa protección de datos, un Ayuntamiento gestiona información de los ciudadanos como usted mismo nos señalaba, información especialmente crítica. ¿Cómo trata de garantizar esa confidencialidad?

En este punto, nos cuidamos mucho del traspaso de datos entre departamentos, definiendo qué roles tienen acceso a qué información. Todo ello, dejando siempre constancia de que se hace con cada dato y por qué persona.

Vigilamos si se comparte información con entes externos, para prevenir la fuga de datos, identificando que datos son sensibles y marcándolos con herramientas de seguridad que tenemos contratadas.

-Y, con esa estrategia, ¿considera que los ciudadanos de Ayamonte se sienten seguros respecto al uso y protección que hacen de sus datos?

Supongo que sí, de hecho cuando el ciudadano de Ayamonte realiza un trámite, suele estar muy bien informado antes de comenzarlo. Tenemos registradas muy pocas violaciones de seguridad, destacando que son casi todas por error humano en las notificaciones, es decir, y esto es muy importante destacarlo, dicha violación suele ser confundir el número documento de identidad del interesado por un “baile de números”.

-También usted mismo apuntaba cómo el eslabón más débil de la seguridad y confidencialidad de los datos sigue siendo el propio empleado público. ¿Cómo están intentando solventar esto?

Como he comentado antes, formándolo y concienciándolo. Dicha formación se realiza por grupos, normalmente la mitad de un departamento/área por turno y de forma presencial. También se suele aconsejar la realización de formaciones online, proporcionadas por el propio Ayuntamiento.

Para la concienciación, hace ya alrededor de un año, lanzamos un boletín semanal/quincenal con el nombre “[CIBERCONSEJOS] XXXXXXXX”, en el que se intenta explicar con un lenguaje sencillo los diferentes peligros que nos encontramos por internet, por ejemplo phishing, ramsonware, etc…

-Un desafío es no solo formar a los empleados públicos en materia de protección de datos sino atraer talento a la propia Administración, con especialistas en estas materias. ¿Cómo debe afrontarse este reto? 

No es sólo un desafío, creo que se acerca más a la franquicia “Misión Imposible”. Es difícil atraer talento a la Administración, sea del tipo que sea, y más atraer talento en ciberseguridad o protección de datos y me explico. Partimos de una situación clara y es que las Administraciones tienen muchos problemas para contratar empleados, están muy limitadas por los recortes, por los ajustes, las limitaciones presupuestarias y control del gasto.

Otro problema, es la retribución; si no se paga el talento, el talento se va a otro lado. Normalmente dicho talento acaba en la empresa privada, ya que la Administración tiene escalas A1, A2, B1, B2, etc… y la retribución se regula según esa escala, si no se trata de un puesto de habilitación nacional.

Podríamos plantear el formar a los empleados públicos y así crear ese talento que se necesita pero hay que decir que cuesta implicar al empleado en formaciones específicas de masters, grados, etc. Es el propio empleado el que tiene que costear la mayor parte de dicha especialización y eso hace que no esté motivado. Pero también nos encontramos con otro problema: una vez formado, no se le modifica la retribución por lo que tampoco le sirve muchas de motivación para formarse, más allá de motivación personal por crecer.

En mi caso, aproveché el teletrabajo en época de pandemia para ello; el estar en casa estudiando con los niños, me motivó a retomar los libros y me certifiqué en Protección de Datos y comencé un Master en Dirección de Ciberseguridad y Hacking Ético que he acabo en marzo de este año.

«La Inteligencia Artificial, por un lado aumenta la eficiencia de la Administración y por otro ayuda a la toma de decisiones»

-Inteligencia Artificial, Blockchain o Internet de las Cosas. ¿Qué beneficios aportan a la AA.PP.? En concreto en el Ayuntamiento de Ayamonte y en su área de responsabilidad, ¿están aplicando alguna tecnología que les ayude en el día a día?

La Inteligencia Artificial, por un lado aumenta la eficiencia de la Administración y por otro ayuda a la toma de decisiones.

En el caso de Blockchain, tema controvertido en estos momentos, ya que por razones de seguridad de la propia tecnología, está prohibido su uso en el ámbito de las Administraciones Públicas tanto para establecimientos de registros como para sistemas de identificación, hasta que no exista una regulación de dicha tecnología.

IoT, en la actualidad, es fundamental para las Administraciones Públicas, dado su potencial en la recogida de los datos y de la información. De hecho, en el Ayuntamiento de Ayamonte, en la actualidad, utilizamos el IoT para la monitorización de edificios, control de presencia, aparcamientos, sensores, iluminación, movimiento de personas y vehículos, etc… lo que nos ayuda ser más eficientes, al ahorro de costes y por supuesto a lo siguiente: nos facilita descongestionar en épocas estivales, las vías de acceso a la playa; ayuda al ciudadano a la toma de decisiones sobre el estacionamiento de sus vehículos y al turista a visitar los monumentos con menos afluencia en la hora elegida.

También nos permite una mejor medición de la calidad del aire, sonometría, etc así como al control remoto del alumbrado del municipio o al control del parque de vehículos municipales.

-En su opinión, ¿es posible hacer de la innovación una realidad sin la colaboración público-privada? 

No es posible, deben ir de mano. La Administración Pública al estar tan limitada en cuanto a tiempos, si intenta innovar por su cuenta, siempre llegará tarde por lo que, necesita de la parte privada para la reducción de los mismos y así estar al día en cuanto a innovación.

-¿Qué hace realmente a una Administración innovadora para usted?

Primero que los propios empleados quieran innovar en las materias que les conciernen y, en segundo lugar, que la parte política se implique y protagonice ese “empujón” que ayude a no dejar de rodar la rueda de la innovación.

Creo que es fundamental esta última parte; muchas veces el empleado público carece de iniciativa bien por sus años en la Administración o bien, si son empleados públicos jóvenes que llegan con ganas, éstos muchas veces chocan con un superior que no quiere complicarse la vida. Existe mucha reticencia al cambio y por eso se necesita la implicación de la parte política para ayudar a avanzar en estos casos.

Y en tercer lugar, son imprescindibles las ayudas económicas; si no hay algún tipo de ayuda europea, estatal, autonómica, provincial a través de las diputaciones, etc. no es posible. Las administraciones locales, como el Ayuntamiento de Ayamonte, carecen de recursos propios para llevar a cabo proyectos de innovación.


Comparte la noticia