Leire Díez avaló que un grupo multado por el Banco de España entrara en un contrato de Correos
La empresa postal se adjudicó el bono cultural joven en 2023 por 2,9 millones y subencargó a Bnext parte del convenio
El acuerdo lo firmó la exmilitante del PSOE con la exsubsecretaria de Cultura, hoy embajadora en la República Checa
Soborno al fiscal Grinda: «Quien puede avalar el acuerdo es Leire»
Como directora de Filatelia, Estudios y Futuro de Correos, Leire Díez tuvo relaciones con altos cargos del Gobierno «más allá de hacerse una foto» y gestionó proyectos millonarios «no caracterizándose precisamente por su profesionalidad». Así lo subrayan fuentes de la compañía postal ... que señalan como ejemplo de su «poco ajustado» proceder un convenio «incompleto en materia de seguridad y protección de datos» firmado el 26 de julio de 2023 entre la que hoy dice ser periodista de investigación y la entonces subsecretaria de Cultura y hoy embajadora de España en la República Checa, María Pérez. En la firma y de manera mancomunada con Díez participó también la entonces directora de Relaciones Institucionales de Correos, Nuria Lera.
Ese convenio adjudicaba la gestión del 'bono cultural joven' -cheque de 400 euros para que quienes cumplen 18 años puedan gastar en ocio cultural y videojuegos- a Correos por un importe máximo de 2,9 millones, y tuvo que ser corregido mediante una larguísima adenda -de doce páginas y media, frente a las ocho del convenio completo- firmada el 8 de septiembre. «Ha sido preciso ampliar su contenido en materia de protección de datos personales», justificó entonces la subsecretaría de Cultura. Este segundo documento incluyó subencargar el tratamiento y protección de los centenares de miles de datos cedidos por los solicitantes, sus representantes legales y las empresas que se adhirieron al programa, a la empresa 'Bnext', sancionada dos semanas antes por el Banco de España.
La infracción, con fecha de 23 de agosto, tuvo la consideración de grave y había consistido en una multa de 120.000 euros «por no haber informado oportunamente al Banco de España de la adquisición y reducción de participaciones significativas indirectas». Bnext es una entidad de dinero electrónico que ya venía colaborando con Correos y sus administradores Juan Antonio Rullán de la Mata y Guillermo Vicandi Nebreda, también fueron multados con 6.000 euros y 12.000 euros respectivamente. Originalmente, todas estas sanciones eran superiores pero tanto la entidad como sus administradores pudieron beneficiarse de una reducción del 40%, que rebajó los castigos hasta las cifras señaladas.
El 'bono cultural joven' había nacido en 2022 pero con innumerables problemas a la hora de su utilización, por lo que el Ministerio de Cultura que entonces pilotaba Miquel Iceta (PSC) decidió buscar una «entidad colaboradora» que proporcionara y gestionara las tarjetas de pago a los jóvenes. Tras un procedimiento de concurrencia encontró lo que buscaba en Correos, de la mano de Leire Díez. «Firmó el convenio por tener poderes para representar a Correos en dicho acto y tener cabida en su ámbito de responsabilidades», subrayan fuentes oficiales de la empresa postal respecto a su exdirectora de Filatelia.
El convenio venía redactado desde la Orden publicada por el Ministerio de Cultura pero tal y como señalan fuentes no oficiales de Correos, «no cumplía los requisitos exigidos por las leyes de Protección de Datos y Garantía de los Derechos Digitales, y ni Leire Díez ni Nuria Lera dijeron nada. Después, Cultura fue la que dijo que había que arreglarlo». El Ministerio que encabeza ahora Ernest Urtasun (Sumar) ha rehusado realizar cualquier tipo de declaración respecto a esta operación, al igual que Bnext. Por su parte, fuentes oficiales de la empresa postal subrayan que «no hay nada anómalo en el procedimiento».
«Correos se presentó al concurso como entidad distribuidora de tarjetas indicando desde un principio que la entidad emisora de las tarjetas sería Bnext, la entidad de dinero electrónico con la que distribuía su tarjeta prepago en sus oficinas. Al ser Bnext la entidad emisora de las tarjetas y, por tanto, la que realiza el tratamiento de los datos de los beneficiarios, dicho tratamiento tuvo que regularse con posterioridad mediante anexo al convenio incluido en la citada Orden». añaden.
«La hemos liado»
Pero Miguel Recio, profesor de Derecho y Protección de Datos de la Universidad CEU San Pablo, lo contradice y coincide con que aquel proceso fue una «chapuza». «El convenio tenía que permitir el tratamiento de los datos cumpliendo obviamente con el Reglamento General de Protección de Datos y con la Ley Orgánica de Protección de Datos. Correos tenía la obligación de haber levantado la mano y haber dicho que ese convenio no era asumible porque faltaba el grueso relativo al tratamiento y protección de datos», subraya este jurista.
En cuanto al papel de Bnext, este experto señala que «aunque el subencargado sea del sector privado, el contenido a efectos de medidas de seguridad de los datos personales es el mismo, y entre el mes y medio que pasa entre el convenio y la adenda no cambia la normativa. Por tanto, la adenda es simplemente la manifestación de que 'la hemos liado, teníamos que haber firmado antes todo esto y ahora tenemos que añadirlo'», añade. «Es responsabilidad de las dos partes porque la ley Orgánica de Protección de Datos establece específicamente que en caso de infracción serían responsables tanto el responsable del tratamiento como el encargado», remacha.
Muchos datos y muy sensibles
Las claves del convenio
El acuerdo de gestión del bono cultural joven de 2023 implicó que Correos aportaba una plataforma tecnológica específica y las aplicaciones informáticas necesarias para manejarla y entregar las tarjetas prepago al medio millón de potenciales beneficiarios. También debía dar de alta a las entidades que quisieran adherirse al programa, incorporar a los beneficiarios en la plataforma o remitir a Cultura una vez al mes informes sobre el número de beneficiarios, transacciones, entidades adheridas, o calidad del servicio, así como ficheros de datos
De los jóvenes, sus padres y entidades adheridas
La solicitud del 'bono cultural joven' implicaba la comunicación de muchos datos sensibles de los jóvenes y de sus representantes legales, aunque en menor medida. Respecto a los primeros, nombre y apellidos, DNI y fecha de nacimiento a sexo, nacionalidad, domicilio, teléfono, correo electrónico y movimientos de la tarjeta. Sobre los segundos, nombre y apellidos, NIF o documento legal equivalente, teléfono y correo electrónico. Las entidades que colaboraban también aportaban un elevado número de datos comerciales.
La adenda subsanó cuestiones muy básicas relacionadas con la guarda y uso de los datos personales. Por ejemplo, la aplicación del protocolo obligatorio para todo el sector público y sus proveedores, el Esquema Nacional de Seguridad, cuyo objetivo es asegurar la confidencialidad e integridad de la información. Tampoco incluyó que debe evitarse el tratamiento de datos de categoría especial (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos relativos a la salud, datos genéticos, datos biométricos, vida u orientación sexual) porque su uso puede poner en riesgo los derechos y libertades de las personas afectadas.
La adenda incorporó todo ello junto a varios mandatos. Entre ellos, los de tratar los datos «estrictamente necesarios», establecer una identificación inequívoca para cada persona con acceso a ellos, llevar por escrito un registro de todos los incidentes de seguridad, o la prohibición de suprimir todas estas salvaguardas. La protección de los datos personales pasó de estar despachada en página y media en el convenio a doce páginas en la adenda.
Esta funcionalidad es sólo para suscriptores
Suscribete
Esta funcionalidad es sólo para suscriptores
Suscribete