L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat avui Orientaciones per a tractaments que impliquen comunicació de dades entre Administracions Públiques davant el risc de bretxes de dades personals
, un document destinat al sector públic que aborda la necessitat de gestionar els riscos derivats del tractament de quantitats massives de dades personals, i el seu intercanvi entre AAPP, tant per als drets i llibertats de les persones com per a la pròpia societat en el seu conjunt.
Dirigido a organismos públicos y a sus delegados de protección de datos, el documento está centrado en aquellos tratamientos en los que, debido al elevado volumen de datos personales y por la interconexión permanente entre sistemas de las Administraciones, son susceptibles de sufrir brechas masivas de datos personales de alto riesgo para los derechos fundamentales.
Las Administraciones Públicas, al igual que todos los responsables del tratamiento, han de asumir que las brechas de datos personales podrían producirse y que las medidas de seguridad no garantizan una protección total. Por lo tanto, deben implementar desde el diseño del tratamiento medidas y acciones específicas para minimizar el posible impacto personal y social de una brecha en caso de producirse. En 2021, la Agencia recibió 163 notificaciones de brechas personales provenientes del sector público, y en 2022 esa cifra se incrementó un 49% hasta las 243.
Una gestió eficaç dels riscos implica l'actuació coordinada de les entitats implicades en el tractament, un estudi conjunt dels diferents escenaris de bretxes massives en cas de fallada de les mesures de seguretat i l'adopció dels procediments, tècniques de protecció de dades i mesures de seguretat específiques i adequades per minimitzar el seu impacte sobre els drets fonamentals. Com a material d'ajuda, les Orientacions inclouen un llistat de mesures preventives de detecció, resposta, revisió i supervisió que es podrien implementar en el marc d'aquest tipus de tractaments.
L'Agència apunta en aquestes directrius que les infraestructures d'aquests tractaments són complexes des del punt de vista organitzatiu a causa dels múltiples actors que intervenen, i que aquesta interconnexió d'infraestructures per a l'accés i l'intercanvi de dades multiplica la probabilitat que una bretxa de dades personals acabi materialitzant-se, generant un gran impacte. Això suposa que han d'aplicar-se garanties de privadesa i mesures de seguretat, tant tècniques com a organitzatives, adequades a aquests escenaris complexos, específiques per gestionar l'alt impacte social en relació amb la protecció de dades i de forma coordinada.
Aquestes Orientacions se sumen a les diverses guies i eines que l'Agència té publicades en relació amb les gestió, notificació i comunicació de bretxes de dades personals, que poden consultar-se en aquest enllaç .
