L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia Tecnologies i Protecció de Dades en Administracions Públiques
, en la qual analitza algunes de les tecnologies que estan aplicant-se en les AAPP, els riscos inherents al seu ús quant a la protecció de dades personals i les salvaguardes que han de ser implementades per estes. La Guia examina cookies i altres tecnologies de seguiment, ús de les xarxes socials, cloud computing, big data, intel·ligència artificial, blockchain i smart cities. El seu contingut s'ampliarà en versions successives, estenent-ho a altres tecnologies específiques.
Els servicis implementats en les AAPP estan guiats pel servici públic, si ben el tractament de dades personals que realitzen té un risc característic derivat de la quantitat de dades arreplegades, el volum de persones afectades, la impossibilitat d'oposar-se al tractament en molts casos i el desequilibri existent entre Administració i ciutadans. Les AAPP, com a responsables del tractament de les dades dels ciutadans, abans de posar en marxa noves activitats de tractament o modificar servicis ja prestats, han d'identificar els riscos als quals pot estar exposat el tractament i adoptar les mesures tècniques i organitzatives que permeten eliminar o almenys mitigar els danys que pogueren derivar-se del mateix per als drets i llibertats de les persones.
Quant al cloud computing, amb els seus indubtables avantatges, presenta riscos com la privacitat de la informació emmagatzemada, la continuïtat dels servicis, els canvis legals i la pèrdua de control de la infraestructura i les aplicacions utilitzades. En el cas de les AAPP, pel volum i la sensibilitat de les dades que gestionen, estos riscos han de ser objecte d'una rigorosa anàlisi. No és improbable que en els servicis en el núvol es produïsquen bretxes de seguretat que posen en perill la disponibilitat, la integritat o la confidencialitat de les dades personals, amb conseqüències per als drets i llibertats de les persones físiques. Un ciberatac, un mal funcionament del sistema o un error humà poden posar en perill les dades dels ciutadans. La gestió del risc de seguretat de la informació no recau de forma exclusiva en l'empresa proveïdora del servici que actua com a encarregada de tractament, sinó que correspon a l'Administració determinar les mesures de seguretat que deu exigir a l'encarregat i que, obligatòriament, han de quedar reflectides de forma contractual.
D'altra banda, en la fase de disseny dels tractaments de Big Data cal analitzar de forma objectiva quina quantitat de dades és necessària i suficient, ajustar-se al principi de minimització de dades i no adoptar estratègies en les quals es recorre a arreplegar la màxima quantitat possible de dades. La Guia arreplega que este problema es pot veure accentuat en el cas de recopilació massiva de dades suportada per sensors en contextos de tractament, com els realitzats en les Smart Cities. El tractament massiu de dades de caràcter personal és un dels supòsits per als quals el RGPD exigix una avaluació del risc, requerint la realització d'una avaluació d'impacte relativa a la protecció de dades i, en funció del resultat obtingut, d'una consulta prèvia a l'Autoritat de Control.
A més, el document alerta de l'enriquiment de la informació d'una mateixa persona amb dades de diferents fonts, la qual cosa pot derivar en noves connexions o matisos de la seua personalitat que per separat no s'haurien manifestat. “És possible fins i tot que, en creuar diverses fonts de dades que suposadament eren anònimes, per agregació de dades, es revele la identitat de persones concretes”, afig. L'Agència recomana mesurar, avaluar i gestionar els riscos de reidentificación, prenent les mesures necessàries per a reduir la probabilitat d'eixa reidentificación, amb conseqüències de gran impacte en cas de categories especials de dades com les dades mèdiques, de menors o de persones en condicions d'especial vulnerabilitat.
Part d'estos riscos també s'apliquen a les smart cities: “fins i tot quan s'arrepleguen dades inicialment anonimizados, l'extensió, freqüència, combinació i enriquiment de dades poden resultar en una reidentificación de les persones”. L'Agència aconsella prendre mesures per a mitigar eixe risc com aplicar tècniques de privacitat diferencial o l'ocupació d'estratègies d'agregació d'informació per a evitar correlacions, alhora que assenyala que la instal·lació de sensors de forma massiva incrementa la probabilitat que es produïsquen fallades de seguretat que també poden provindre d'atacs intencionats. Per tant, l'Agència recomana parar atenció a l'anàlisi de riscos de seguretat des del punt de vista de protecció de dades, de manera que oferisca “les màximes garanties perquè no es puguen produir accessos no autoritzats que permeten monitorar a les persones de forma individual o donar lloc un filtrat massiu de dades personals”.
Els destinataris d'esta Guia són principalment els Delegats de Protecció de Dades de les AAPP i els empleats públics encarregats de promoure, gestionar i utilitzar estes tecnologies en l'Administració, encara que també pot ser útil a empreses que treballen com a encarregades de tractament o desenvolupadores d'aplicacions per a les AAPP, així com als propis ciutadans, per a entendre com els afecten estes tecnologies en els servicis que els presta l'Administració.
