accesskey_mod_content

Resultados da primeira acción europea que analizou o uso da nube no sector público

  • Escoitar
  • Copiar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

25 xaneiro 2023

O obxectivo do informe publicado é obter unha visión europea integral que permita identificar e fomentar as mellores prácticas, detectar posibles deficiencias e realizar recomendacións ao sector.

A Axencia Española de Protección de Datos ( AEPD ) participou en  a primeira acción coordinada de autoridades europeas de protección de datos para analizar o uso de servizos na nube por parte do sector público(Abre en nova xanela) , una iniciativa realizada en el marco de las actuaciones coordinadas del Comité Europeo de Protección de Datos ( EDPB , polas súas siglas en inglés). Este documento proporciona unha visión integral para identificar e fomentar as mellores prácticas, detectar posibles deficiencias e realizar recomendacións na contratación e o uso de servizos na nube por parte dos organismos públicos.

O informe, que ofrece unha visión europea do sector público nesta materia, aglutina os resultados das 22 autoridades de protección de datos que participaron na iniciativa e o Supervisor Europeo de Protección de Datos. Estudáronse un centenar de organismos públicos no conxunto de países membros, 12 deles analizados pola AEPD, y abarca una amplia gama de sectores como salud, finanzas, impuestos, educación y proveedores de servicios de tecnologías de la información. La finalidad del informe global es contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Para levalo a cabo, a Axencia remitiu un cuestionario a diversos organismos públicos para que estes identificasen os retos aos que se enfrontan para dar cumprimento ao Regulamento Xeral de Protección de Datos ( RGPD ) cando utilizan servizos na nube no desenvolvemento das súas actividades (procedementos para a súa contratación, cuestións relacionadas coas transferencias internacionais de datos, o papel do delegado de protección de datos, a adopción de medidas complementarias e disposicións que rexen a relación entre responsables e encargados do tratamento, etc.).

As autoridades de protección de datos, aínda sendo conscientes das dificultades que poden ter os organismos públicos para contratar provedores de servizos de cloud con garantías, pon de manifesto no informe a importancia de cumprir cos requirimentos do Regulamento Xeral de Protección de Datos tendo en conta a natureza e a cantidade de datos persoais que manexan.

A seguir recóllense de maneira sistemática algunhas das recomendacións para organismos públicos que se explican no informe de forma máis detallada:

  • Implicar ao delegado de protección de datos;   
  • Realizar unha Avaliación de Impacto na Protección de Datos;
  • Garantir que os roles de responsable do tratamento e encargado estean clara e inequivocamente determinados;
  • Garantir que o provedor de cloud computing actúa como encargado  seguindo as instrucións que lle facilitou o organismo público;
  • Garantir que o organismo público poida oporse a que outros encargados traten os datos;
  • Vixiar que os datos persoais só se traten para os fins determinados;
  • Cooperar con outros organismos públicos na contratación de provedores de cloud;
  • Revisar se os tratamentos realízanse de acordo con a avaliación de impacto;
  • Identificar se o provedor de servizos de cloud realiza o tratamento de datos nun país fóra da UE. Se é ese o caso, débese ter en conta o aplicable ás transferencias internacionais de datos segundo o RGPD;
  • Analizar se a lexislación do país de orixe de provedor de servizos de cloud permite que se lle requira o acceso aos datos que almacena en territorio da UE;
  • Comprobar que o organismo público ten a posibilidade de realizar auditorías ao provedor de servizos de cloud e asegurar que se realizan;
  • Examinar o contrato co provedor de servizos e, se fose necesario, renegocialo.

O EDPB xa está a organizar a posta en marcha dunha nova acción coordinada para este ano 2023, que abordará a designación e situación dos delegados de protección de datos.

Fonte orixinal da noticia(Abre en nova xanela)

  • Información e datos do sector público
  • Seguridade e Protección de Datos