L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia Tecnologies i Protecció de Dades en Administracions Públiques
, en la qual analitza algunes de les tecnologies que estan aplicant-se en les AAPP, els riscos inherents al seu ús quant a la protecció de dades personals i les salvaguardes que han de ser implementades per aquestes. La Guia examina cookies i altres tecnologies de seguiment, ús de les xarxes socials, cloud computing, big data, intel·ligència artificial, blockchain i smart cities. El seu contingut s'ampliarà en versions successives, estenent-ho a altres tecnologies específiques.
Els serveis implementats en les AAPP estan guiats pel servei públic, si ben el tractament de dades personals que realitzen té un risc característic derivat de la quantitat de dades recollides, el volum de persones afectades, la impossibilitat d'oposar-se al tractament en molts casos i el desequilibri existent entre Administració i ciutadans. Les AAPP, com a responsables del tractament de les dades dels ciutadans, abans d'engegar noves activitats de tractament o modificar serveis ja prestats, han d'identificar els riscos als quals pot estar exposat el tractament i adoptar les mesures tècniques i organitzatives que permetin eliminar o almenys mitigar els danys que poguessin derivar-se del mateix per als drets i llibertats de les persones.
Quant al cloud computing, amb els seus indubtables avantatges, presenta riscos com la privadesa de la informació emmagatzemada, la continuïtat dels serveis, els canvis legals i la pèrdua de control de la infraestructura i les aplicacions utilitzades. En el cas de les AAPP, pel volum i la sensibilitat de les dades que gestionen, aquests riscos han de ser objecte d'una rigorosa anàlisi. No és improbable que en els serveis en el núvol es produeixin bretxes de seguretat que posin en perill la disponibilitat, la integritat o la confidencialitat de les dades personals, amb conseqüències per als drets i llibertats de les persones físiques. Un ciberatac, un mal funcionament del sistema o un error humà poden posar en perill les dades dels ciutadans. La gestió del risc de seguretat de la informació no recau de forma exclusiva en l'empresa proveïdora del servei que actua com a encarregada de tractament, sinó que correspon a l'Administració determinar les mesures de seguretat que deu exigir a l'encarregat i que, obligatòriament, han de quedar reflectides de forma contractual.
D'altra banda, en la fase de disseny dels tractaments de Big Data cal analitzar de forma objectiva quina quantitat de dades és necessària i suficient, ajustar-se al principi de minimització de dades i no adoptar estratègies en les quals es recorre a recollir la màxima quantitat possible de dades. La Guia recull que aquest problema es pot veure accentuat en el cas de recopilació massiva de dades suportada per sensors en contextos de tractament, com els realitzats en les Smart Cities. El tractament massiu de dades de caràcter personal és un dels supòsits pels quals el RGPD exigeix una avaluació del risc, requerint la realització d'una avaluació d'impacte relativa a la protecció de dades i, en funció del resultat obtingut, d'una consulta prèvia a l'Autoritat de Control.
A més, el document alerta de l'enriquiment de la informació d'una mateixa persona amb dades de diferents fonts, la qual cosa pot derivar en noves connexions o matisos de la seva personalitat que per separat no s'haurien manifestat. “És possible fins i tot que, en creuar diverses fonts de dades que suposadament eren anònimes, per agregació de dades, es reveli la identitat de persones concretes”, afegeix. L'Agència recomana mesurar, avaluar i gestionar els riscos de reidentificación, prenent les mesures necessàries per reduir la probabilitat d'aquesta reidentificación, amb conseqüències de gran impacte en cas de categories especials de dades com les dades mèdiques, de menors o de persones en condicions d'especial vulnerabilitat.
Parte de estos riesgos también se aplican a las smart cities: “incluso cuando se recogen datos inicialmente anonimizados, la extensión, frecuencia, combinación y enriquecimiento de datos pueden resultar en una reidentificación de las personas”. La Agencia aconseja tomar medidas para mitigar ese riesgo como aplicar técnicas de privacidad diferencial o el empleo de estrategias de agregación de información para evitar correlaciones, a la vez que señala que la instalación de sensores de forma masiva incrementa la probabilidad de que se produzcan fallos de seguridad que también pueden provenir de ataques intencionados. Por tanto, la Agencia recomienda prestar atención al análisis de riesgos de seguridad desde el punto de vista de protección de datos, de forma que ofrezca “las máximas garantías para que no se puedan producir accesos no autorizados que permitan monitorizar a las personas de forma individual o dar lugar un filtrado masivo de datos personales”.
Els destinataris d'aquesta Guia són principalment els Delegats de Protecció de Dades de les AAPP i els empleats públics encarregats de promoure, gestionar i utilitzar aquestes tecnologies en l'Administració, encara que també pot ser útil a empreses que treballin com a encarregades de tractament o desenvolupadores d'aplicacions per a les AAPP, així com als propis ciutadans, per entendre com els afecten aquestes tecnologies en els serveis que els presta l'Administració.
