A Axencia Española de Protección de Datos (AEPD) publicou hoxe Orientaciones para tratamentos que implican comunicación de datos entre Administracións Públicas ante o risco de brechas de datos persoais , un documento destinado ao sector público que aborda a necesidade de xestionar os riscos derivados do tratamento de cantidades masivas de datos persoais, e o seu intercambio entre AAPP, tanto para os dereitos e liberdades das persoas como para a propia sociedade no seu conxunto.
Dirixido a organismos públicos e aos seus delegados de protección de datos, o documento está centrado naqueles tratamentos nos que, debido ao elevado volume de datos persoais e pola interconexión permanente entre sistemas das Administracións, son susceptibles de sufrir brechas masivas de datos persoais de alto risco para os dereitos fundamentais.
As Administracións Públicas, do mesmo xeito que todos os responsables do tratamento, han de asumir que as brechas de datos persoais poderían producirse e que as medidas de seguridade non garanten unha protección total. Por tanto, deben implementar desde o deseño do tratamento medidas e accións específicas para minimizar o posible impacto persoal e social dunha brecha en caso de producirse. En 2021, a Axencia recibiu 163 notificacións de brechas persoais provenientes do sector público, e en 2022 esa cifra incrementouse un 49% ata as 243.
Unha xestión eficaz dos riscos implica a actuación coordinada das entidades implicadas no tratamento, un estudo conxunto dos distintos escenarios de brechas masivas en caso de fallo das medidas de seguridade e a adopción dos procedementos, técnicas de protección de datos e medidas de seguridade específicas e adecuadas para minimizar o seu impacto sobre os dereitos fundamentais. Como material de axuda, as Orientacións inclúen unha listaxe de medidas preventivas de detección, resposta, revisión e supervisión que se poderían implementar no marco deste tipo de tratamentos.
A Axencia apunta nestas directrices que as infraestruturas destes tratamentos son complexas desde o punto de vista organizativo debido aos múltiples actores que interveñen, e que esa interconexión de infraestruturas para o acceso e o intercambio de datos multiplica a probabilidade de que unha brecha de datos persoais termine materializándose, xerando un gran impacto. Isto supón que deben aplicarse garantías de privacidade e medidas de seguridade, tanto técnicas como organizativas, adecuadas a estes escenarios complexos, específicas para xestionar o alto impacto social con relación á protección de datos e de forma coordinada.
Estas Orientaciones se suman a las diversas guías y herramientas que la Agencia tiene publicadas en relación con las gestión, notificación y comunicación de brechas de datos personales, que pueden consultarse en esta ligazón .