La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tecnologías y Protección de Datos en Administraciones Públicas, en la que analiza algunas de las tecnologías que están aplicándose en las AAPP, los riesgos inherentes a su uso en lo relativo a la protección de datos personales y las salvaguardas que deben ser implementadas por estas.
La Guía examina cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smartcities. Su contenido se ampliará en versiones sucesivas, extendiéndolo a otras tecnologías específicas.
Los servicios implementados en las AAPP están guiados por el servicio público, si bien el tratamiento de datos personales que realizan tiene un riesgo característico derivado de la cantidad de datos recogidos, el volumen de personas afectadas, la imposibilidad de oponerse al tratamiento en muchos casos y el desequilibrio existente entre Administración y ciudadanos.Las AAPP, como responsables del tratamiento de los datos de los ciudadanos, antes de poner en marcha nuevas actividades de tratamiento o modificar servicios ya prestados, deben identificar los riesgos a los que puede estar expuesto el tratamiento y adoptar las medidas técnicas y organizativas quepermitan eliminar o al menos mitigar los daños que pudieran derivarse del mismo para los derechos y libertades de las personas.
En cuanto al cloudcomputing, con sus indudables ventajas, presenta riesgos como la privacidad de la información almacenada, la continuidad de los servicios, los cambios legales y la pérdida de control de la infraestructura y las aplicaciones utilizadas. En el caso de las AAPP, por el volumen y la sensibilidad de los datos que gestionan, estos riesgos deben ser objeto de un riguroso análisis. No es improbable que en los servicios en la nube se produzcan brechas de seguridad que pongan en peligro la disponibilidad, la integridad o la confidencialidad de los datos personales, con consecuencias para los derechos y libertades de las personas físicas. Un ciberataque, un mal funcionamiento del sistema o un error humano pueden poner en peligro los datos de los ciudadanos. La gestión del riesgo de seguridad de la información no recae de forma exclusiva en la empresa proveedora del servicio que actúa como encargada de tratamiento, sino que corresponde a la Administración determinar las medidas de seguridad que debe de exigir al encargado y que, obligatoriamente, han de quedar reflejadas de forma contractual.
Por otro lado, en la fase de diseño de los tratamientos de Big Data hay que analizar de forma objetiva qué cantidad de datos es necesaria y suficiente, ajustarse al principio de minimización de datos y no adoptar estrategias en las quese recurre a recoger la máxima cantidad posible de datos. La Guía recoge que este problema se puede ver acentuado en el caso de recopilación masiva de datos soportada por sensores en contextos de tratamiento, como los realizados en las Smart Cities. El tratamiento masivo de datos de carácter personal es uno de los supuestos para los que el RGPD exige una evaluación del riesgo, requiriendo la realización de una evaluación de impacto relativa a la protección de datos y, en función del resultado obtenido, de una consulta previa a la Autoridad de Control.
Además, el documento alerta del enriquecimiento de la información de una misma persona con datos de distintas fuentes, lo quepuede derivar en nuevas conexiones o matices de su personalidad que por separado no se habrían manifestado. “Es posible incluso que, al cruzar varias fuentes de datos que supuestamente eran anónimas, por agregación de datos, se revele la identidad de personas concretas”, añade. La Agencia recomienda medir, evaluar y gestionar los riesgos de reidentificación, tomando las medidas necesarias para reducir la probabilidad de esa reidentificación, con consecuencias de gran impacto en caso de categorías especiales de datos como los datos médicos, de menores o de personas en condiciones de especial vulnerabilidad.
Parte de estos riesgos también se aplican a las smart cities: “incluso cuandose recogen datos inicialmente anonimizados, la extensión, frecuencia, combinación y enriquecimiento de datos pueden resultar en una reidentificación de las personas”. La Agencia aconseja tomar medidas para mitigar ese riesgo como aplicar técnicas de privacidad diferencial oel empleo de estrategias de agregación de información para evitar correlaciones, a la vez que señala que la instalación de sensores de forma masiva incrementa la probabilidad de que se produzcan fallos de seguridad que también pueden provenir de ataques intencionados. Por tanto, la Agencia recomienda prestar atención al análisis de riesgos de seguridad desde el punto de vista de protección de datos, de forma que ofrezca“las máximas garantías para que no se puedan producir accesos no autorizados que permitan monitorizar a las personas de forma individual o dar lugar un filtrado masivo de datos personales”.
Los destinatarios de esta Guía son principalmente los Delegados de Protección de Datos de las AAPP y los empleados públicos encargados de promover, gestionar y utilizar estas tecnologías en la Administración, aunque también puede ser útil a empresas que trabajen como encargadas de tratamiento o desarrolladoras de aplicaciones para las AAPP, así como a los propios ciudadanos, para entender cómo les afectan estas tecnologías en los servicios que les presta la Administración.
Guías específicas para ampliar información
Este documento tiene el propósito de exponer algunos aspectos característicos de estas tecnologías con relación a la protección de datos cuando son empleadas por las AA.PP. y que vienen a complementar lo ya establecido en el RGPD, la normativa nacional y sectorial y las guías específicas ya publicadas como:
- Guía y listado de Cumplimento Normativo
- Guía de protección de datos y Administración Local
- Código de buenas prácticas en proyectos Big Data
- Guía para clientes que contraten servicios de Cloud Computing
- Guía sobre el uso de Cookies
- Guía de adecuación al RGPD de los tratamientos que incorporen IA
- Guía de Privacidad desde el Diseño
- Guía de Protección de Datos por Defecto
- Guía práctica para el Análisis de Riesgos
- Guía práctica para la realización de Evaluaciones de Impacto en protección de datos
- Guía para la gestión de las Brechas de Seguridad
Me interesa
- La AEPD publica los resultados de su plan de auditoría sobre la contratación de servicios a distancia en los sectores de telecomunicaciones y energía
- La AEPD publica una herramienta para ayudar a los responsables a decidir si deben comunicar una brecha de seguridad a los afectados
- La AEPD publica una guía para facilitar la aplicación práctica de la protección de datos por defecto
- La AEPD y los ministerios de Educación e Igualdad, junto a PantallasAmigas, ponen en marcha la campaña “El control es tuyo, que no te controlen”
- La AEPD publica recomendaciones para minimizar los riesgos para la privacidad en la navegación por Internet