La inclusión de otro tipo de datos, distintos de los que actualmente incorpora el DNI, es algo que ya se veía venir desde el momento en que el DNI electrónico se planteaba como un instrumento de identificación único ante todo tipo de organismos públicos. En la exposición de motivos del borrador de anteproyecto de ley de firma electrónica sometido a información pública en enero de 2002 ya se entreveía esta posibilidad, al señalarse que "los certificados contenidos en los Documentos Nacionales de Identidad electrónicos coexistirán e incluso, podrán utilizarse de manera complementaria con otros productos, como los llamados certificados de atributos, que indican una circunstancia específica de su titular", apunte que desapareció de los borradores posteriores.

Los peligros de este tipo de identificadores únicos saltan a la vista: el cruce de datos entre Administraciones Públicas. Si ahora ya es posible que la Agencia Tributaria tenga acceso, con el DNI/NIF¹, a una gran cantidad de datos sobre nuestra persona, ni qué decir tiene que la información al alcance de la Administración se incrementará considerablemente al incorporar los datos de salud a un mismo identificador. Y, posteriormente, es posible que se añada a esto la tarjeta de la Seguridad Social, el carné de conducir, los datos del Registro Civil, o incluso el historial delictivo del sujeto, todo en un único soporte, que además pueda utilizarse para votar. Incluso está previsto que dicho DNI sea utilizado en el ámbito privado para firmar electrónicamente documentos o para identificarse en Internet. Al margen de que esto perjudicará la competencia en el ámbito de los servicios de certificación electrónica, quedando el Estado como el principal proveedor, ampliamos los riesgos de fuga de datos al sector privado.

Las Nuevas Tecnologías pueden facilitar muchos trámites administrativos y mejorar la gestión de los servicios públicos, pero también deben tenerse en cuenta las consecuencias que conlleva que cualquier Administración tenga acceso a datos que, en principio, no les corresponde conocer. No pongo en duda que técnicamente será un dispositivo seguro, pero el factor humano en ocasiones falla, por lo que la manipulación de los datos puede que no sea siempre correcta. Por ejemplo, el año pasado hice la declaración de la renta por teléfono y, al enviármela en papel días después, descubrí que no era la mía sino la de otra persona. Protesté y me enviaron otra, esta vez a mi nombre, pero descubrí tener, entre otras cosas, esposa y dos hijos. Finalmente la tuve que hacer yo mismo.

Javier Marías criticaba, a propósito del nuevo sistema de control biométrico implantado en Estados Unidos para controlar a quienes quieren entrar en este país, que la mayoría de los viajeros estaban conformes con este tipo de inspecciones, viniendo a decir muchos de ellos que uno no tiene de qué preocuparse o no tiene nada que ocultar si es inocente. También constaba que los Estados están cada vez más preocupados en abarcar la mayor cantidad de información sobre las personas.

Como otro ejemplo de control tenemos que el Banco Central Europeo prevé la incorporación de antenas y chips de identificación por radiofrecuencia (RFID) en los billetes de euro a partir de 2005, lo que permitirá identificar y realizar un seguimiento de cada billete de banco puesto en circulación. En principio se trata de una medida contra la falsificación y el tráfico de moneda, pero esa tecnología también permitirá otras cosas, como saber cuánto dinero lleva una persona encima o ver en qué lo va gastando. Por cierto, se prevé también la aplicación de estos chips al mundo de la moda para facilitar el control de stock -adivinen qué otra información se podrá deducir de esto-, y una discoteca de Barcelona ha decidido implantarlo para identificar a sus clientes y que puedan pagar fácilmente sus consumiciones, sin tener que llevar la cartera encima. En fin, no seré yo quien lo pruebe.

Puede parecer algo alarmista, pero lo cierto es que muchas veces no somos conscientes del control y la vigilancia a la que estamos o podemos estar sometidos, ni de la importancia que tiene el derecho a la autodeterminación informativa, que puede ser definido como la facultad de ejercer el control sobre los datos referentes a nuestra persona contenidos en ficheros o registros públicos o privados, normalmente procesados por medio de dispositivos informáticos. A parte de los conocidos derechos que confiere en relación con dichos ficheros (acceso, rectificación o cancelación) y el de oposición al tratamiento de los datos, la Ley Orgánica de Protección de Datos establece el derecho a la impugnación de valoraciones o decisiones "cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad"². Este derecho, que tan poco se ejerce -el requerimiento de único es difícil de apreciar en la práctica-, permite realizar la autodeterminación informativa en su plenitud, ya que, tan importante como conocer quién tiene nuestros datos, qué datos de gestionan o lo que se ha hecho con ellos, es poder intervenir en las decisiones que se tomen basándose en dicho tratamiento.

Volviendo a las críticas que mencionaba al principio a propósito del DNI electrónico, éstas se centran en que se requiere un consentimiento individual, informado y expreso para incluir los datos de salud en el DNI. No es ese creo, el peor aspecto de esta iniciativa, ya que ese consentimiento³ se puede evitar por ley⁴, sino la forma en la que se pretende regular una cuestión que afecta, de lleno, al ámbito de la protección de datos, considerado como derecho fundamental tanto por los principales organismos internacionales como por el Tribunal Constitucional, de acuerdo con la Sentencia 292/2000, de 30 de noviembre⁵, que además declaró inconstitucional el inciso del art. 21.1 de la LOPD que permitía la cesión de datos entre Administraciones Públicas sin consentimiento de los afectados cuando se autorizaba por una norma infralegal, lo que no se permite de acuerdo con el art. 53.1 de la Constitución.

Hasta la fecha, el DNI viene regulado, en cuanto a su contenido, por normativa reglamentaria⁶, de acuerdo con el art. 9.3 de la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana. Sin embargo, si el derecho a la protección de datos (o a la autodeterminación informativa) es un derecho fundamental, de acuerdo con la mencionada doctrina del Tribunal Constitucional la regulación de esta materia debería realizarse por ley, máxime cuando es posible que afecte a datos especialmente protegidos, como los relativos a la salud, y no por Decreto, como al parecer se ha hecho. Algún partido ya ha señalado que presentará un recurso al Tribunal Constitucional contra dicha norma.

Por contraste se puede tomar el caso del Reino Unido, donde también se prevé implantar una tarjeta de identificación muy similar a lo que podrá ser nuestro DNI digital, con la importante salvedad de que no permitirá acreditar la identidad de una persona en general, sino que será un instrumento de identificación para acceder a determinados servicios públicos a través de Internet. Según los avances realizados, dicha tarjeta incorporará datos como el nombre, edad, nacionalidad, permiso de trabajo,... y un chip con información biométrica (huellas digitales, patrones del iris, geometría de la mano, características faciales,... o incluso los movimientos de la mano al escribir o patrones de la voz). A propósito de los sistemas biométricos, que también se quieren introducir en los pasaportes de la Unión Europea, según algunos expertos no son tan fiables como pudieran parecer y afirman que es pronto para utilizarlos. Por ejemplo, los sistemas de reconocimiento de patrones del iris tienen una fiabilidad del 99 %. Este margen de error, que es aceptable para muestras pequeñas, cuando hablamos, por ejemplo, de 50 millones de habitantes, supone que el iris de cada uno podría mostrar coincidencias con 500 mil personas, lo que ya no es admisible.

La diferencia de este caso con el de España es que en el Reino Unido, previamente a adoptar esta medida, se han realizado estudios, se han consultado a expertos independientes y se abrió un período de consulta pública, a fin de que cualquiera pudiera dar su opinión. Una de las utilidades del Gobierno Electrónico es precisamente esa, la de permitir ofrecer mucha más información (transparencia) a los ciudadanos y establecer un canal de comunicación bidireccional entre éstos y la Administración, fomentando una mayor participación en la toma de decisiones⁷.

El resultado de todo ello es que, finalmente, el sistema de implantará de forma voluntaria en una primera fase y, tras una rigurosa evaluación de sus resultados, en la que se acredite que los beneficios superan los costes y riesgos que conlleva, se debatirá y votará la extensión de estas tarjetas al resto de la población. Es destacable que, según se informa en el documento "Identity Cards: The Next Steps", uno de los objetivos de dicha evaluación será comprobar que existe una clara aceptación, por parte de los ciudadanos, de la idea de una tarjeta de identificación obligatoria para acceder gratuitamente a servicios públicos.

En este contexto, tal como señalaba el documento de trabajo sobre E-Government (mayo de 2003) del Grupo de Trabajo sobre Protección de Datos de la Comisión Europea, es necesario realizar un balance entre las interconexiones de datos entre Administraciones Públicas y la protección de los derechos de los usuarios en relación con el procesamiento de sus datos. Dicho balance debe hacerse de acuerdo con los siguientes puntos de análisis:

• Determinar las ventajas que el uso de dichos datos y su interconexión proporcionarán de cara a la consecución de los objetivos de la Administración.
• Estudiar si existe alguna alternativa que permita cumplir los mismos fines.
• Ver cuáles deben ser las garantías necesarias para afrontar esos riesgos.
• Comprobar si el balance entre los beneficios y los riesgos es satisfactorio.

Por otro lado, es recomendable una cierta precaución al incorporar determinadas medidas o dispositivos técnicos, sobretodo al tratamiento de datos personales, toda vez que el conocimiento y control sobre éstas es relativamente escaso, y debería realizarse de forma gradual.

Por ejemplo, cita el informe anterior el caso de una entidad local de España que subcontrató con dos entidades financieras la implementación de un sistema de gestión de certificados de residencia, para ser posteriormente utilizados por los ciudadanos para obtener descuentos en el precio del transporte público. Dichas entidades financieras emitían los certificados por medio de las máquinas expendedoras de abonos de transporte, si bien dichas máquinas permitían a los usuarios ver, no sólo sus propios datos, sino también los de aquellas personas que residían en la misma localidad y que estaban registradas en la misma base de datos. Según dicho informe, la entidad local fue sancionada por la Agencia de Protección de Datos española, lo que veo difícil, ya que la propia Ley de Protección de Datos no permite -art. 46- sancionar directamente a una Administración, lo que ya de por sí es lamentable.

En definitiva, las Tecnologías de la Información y la Comunicación pueden mejorar la prestación de servicios a los ciudadanos, pero también -al igual que sucede con las empresas privadas- generan un riesgo para la privacidad de los ciudadanos, por lo que deben establecerse las correspondientes garantías, tanto técnicas como jurídicas. La implantación de identificadores únicos, el intercambio de datos entre Administraciones o registros públicos, el desarrollo de intranets, la utilización de Internet para realizar todo tipo de trámites,... y, en general, la implantación de las Tecnologías de la Información tanto para mejorar la organización interna de las Administraciones Públicas como la prestación de los servicios que se ofrecen al ciudadano requiere, previamente a poner en marcha un proyecto de forma global, la definición de los requerimientos técnicos y jurídicos que debe cumplir, y la realización de estudios, análisis, pruebas y validaciones encaminadas a determinar tanto la fiabilidad de la tecnología utilizada como el impacto, beneficios y riesgos que conllevan para el ciudadano, así como la conformidad de éstas medidas con la legislación vigente, todo ello de una forma transparente y que permita su discusión política.