L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia Tecnologies i Protecció de Dades en Administracions Públiques
, en la qual analitza algunes de les tecnologies que estan aplicant-se en les AAPP, els riscos inherents al seu ús quant a la protecció de dades personals i les salvaguardes que han de ser implementades per aquestes. La Guia examina cookies i altres tecnologies de seguiment, ús de les xarxes socials, cloud computing, big data, intel·ligència artificial, blockchain i smart cities. El seu contingut s'ampliarà en versions successives, estenent-ho a altres tecnologies específiques.
Els serveis implementats en les AAPP estan guiats pel servei públic, si ben el tractament de dades personals que realitzen té un risc característic derivat de la quantitat de dades recollides, el volum de persones afectades, la impossibilitat d'oposar-se al tractament en molts casos i el desequilibri existent entre Administració i ciutadans. Les AAPP, com a responsables del tractament de les dades dels ciutadans, abans d'engegar noves activitats de tractament o modificar serveis ja prestats, han d'identificar els riscos als quals pot estar exposat el tractament i adoptar les mesures tècniques i organitzatives que permetin eliminar o almenys mitigar els danys que poguessin derivar-se del mateix per als drets i llibertats de les persones.
En cuanto al cloud computing, con sus indudables ventajas, presenta riesgos como la privacidad de la información almacenada, la continuidad de los servicios, los cambios legales y la pérdida de control de la infraestructura y las aplicaciones utilizadas. En el caso de las AAPP, por el volumen y la sensibilidad de los datos que gestionan, estos riesgos deben ser objeto de un riguroso análisis. No es improbable que en los servicios en la nube se produzcan brechas de seguridad que pongan en peligro la disponibilidad, la integridad o la confidencialidad de los datos personales, con consecuencias para los derechos y libertades de las personas físicas. Un ciberataque, un mal funcionamiento del sistema o un error humano pueden poner en peligro los datos de los ciudadanos. La gestión del riesgo de seguridad de la información no recae de forma exclusiva en la empresa proveedora del servicio que actúa como encargada de tratamiento, sino que corresponde a la Administración determinar las medidas de seguridad que debe de exigir al encargado y que, obligatoriamente, han de quedar reflejadas de forma contractual.
Por otro lado, en la fase de diseño de los tratamientos de Big Data hay que analizar de forma objetiva qué cantidad de datos es necesaria y suficiente, ajustarse al principio de minimización de datos y no adoptar estrategias en las que se recurre a recoger la máxima cantidad posible de datos. La Guía recoge que este problema se puede ver acentuado en el caso de recopilación masiva de datos soportada por sensores en contextos de tratamiento, como los realizados en las Smart Cities. El tratamiento masivo de datos de carácter personal es uno de los supuestos para los que el RGPD exige una evaluación del riesgo, requiriendo la realización de una evaluación de impacto relativa a la protección de datos y, en función del resultado obtenido, de una consulta previa a la Autoridad de Control.
Además, el documento alerta del enriquecimiento de la información de una misma persona con datos de distintas fuentes, lo que puede derivar en nuevas conexiones o matices de su personalidad que por separado no se habrían manifestado. “Es posible incluso que, al cruzar varias fuentes de datos que supuestamente eran anónimas, por agregación de datos, se revele la identidad de personas concretas”, añade. La Agencia recomienda medir, evaluar y gestionar los riesgos de reidentificación, tomando las medidas necesarias para reducir la probabilidad de esa reidentificación, con consecuencias de gran impacto en caso de categorías especiales de datos como los datos médicos, de menores o de personas en condiciones de especial vulnerabilidad.
Parte de estos riesgos también se aplican a las smart cities: “incluso cuando se recogen datos inicialmente anonimizados, la extensión, frecuencia, combinación y enriquecimiento de datos pueden resultar en una reidentificación de las personas”. La Agencia aconseja tomar medidas para mitigar ese riesgo como aplicar técnicas de privacidad diferencial o el empleo de estrategias de agregación de información para evitar correlaciones, a la vez que señala que la instalación de sensores de forma masiva incrementa la probabilidad de que se produzcan fallos de seguridad que también pueden provenir de ataques intencionados. Por tanto, la Agencia recomienda prestar atención al análisis de riesgos de seguridad desde el punto de vista de protección de datos, de forma que ofrezca “las máximas garantías para que no se puedan producir accesos no autorizados que permitan monitorizar a las personas de forma individual o dar lugar un filtrado masivo de datos personales”.
Els destinataris d'aquesta Guia són principalment els Delegats de Protecció de Dades de les AAPP i els empleats públics encarregats de promoure, gestionar i utilitzar aquestes tecnologies en l'Administració, encara que també pot ser útil a empreses que treballin com a encarregades de tractament o desenvolupadores d'aplicacions per a les AAPP, així com als propis ciutadans, per entendre com els afecten aquestes tecnologies en els serveis que els presta l'Administració.
