accesskey_mod_content

A AEPD publica unha guía que analiza o uso de novas tecnoloxías nas Administracións Públicas

  • Escoitar
  • Copiar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

20 novembro 2020

A Guía avalía o impacto que poden ter estas tecnoloxías na protección de datos, pondo de manifesto os riscos inherentes ás mesmas, e sinala salvagárdalas que deben implementar as AAPP

A Axencia Española de Protección de Datos (AEPD) publicou o  Guía Tecnologías e Protección de Datos en Administracións Públicas(Abre en nova xanela) , na que analiza algunhas das tecnoloxías que están a se aplicar nas AAPP, os riscos inherentes ao seu uso no relativo á protección de datos persoais e salvagárdalas que deben ser implementadas por estas. A Guía examina cookies e outras tecnoloxías de seguimento, uso das redes sociais, cloud computing, big data, intelixencia artificial, blockchain e smart cities. O seu contido ampliarase en versións sucesivas, estendéndoo a outras tecnoloxías específicas.

Os servizos implementados nas AAPP están guiados polo servizo público, aínda que o tratamento de datos persoais que realizan ten un risco característico derivado da cantidade de datos recolleitos, o volume de persoas afectadas, a imposibilidade de oporse ao tratamento en moitos casos e o desequilibrio existente entre Administración e cidadáns. As AAPP, como responsables do tratamento dos datos dos cidadáns, antes de pór en marcha novas actividades de tratamento ou modificar servizos xa prestados, deben identificar os riscos aos que pode estar exposto o tratamento e adoptar as medidas técnicas e organizativas que permitan eliminar ou polo menos mitigar os danos que puidesen derivarse do mesmo para os dereitos e liberdades das persoas.

En canto ao cloud computing, coas súas indubidables vantaxes, presenta riscos como a privacidade da información almacenada, a continuidade dos servizos, os cambios legais e a perda de control da infraestrutura e as aplicacións utilizadas. No caso das AAPP, polo volume e a sensibilidade dos datos que xestionan, estes riscos deben ser obxecto dunha rigorosa análise. Non é improbable que nos servizos na nube prodúzanse brechas de seguridade que poñan en perigo a dispoñibilidade, a integridade ou a confidencialidade dos datos persoais, con consecuencias para os dereitos e liberdades das persoas físicas. Un ciberataque, un mal funcionamento do sistema ou un erro humano poden pór en perigo os datos dos cidadáns. A xestión do risco de seguridade da información non recae de forma exclusiva na empresa provedora do servizo que actúa como encargada de tratamento, senón que corresponde á Administración determinar as medidas de seguridade que debe de esixir ao encargado e que, obrigatoriamente, han de quedar reflectidas de forma contractual.

Doutra banda, na fase de deseño dos tratamentos de Big Data hai que analizar de forma obxectiva que cantidade de datos é necesaria e suficiente, axustarse ao principio de minimización de datos e non adoptar estratexias nas que se recorre a recoller a máxima cantidade posible de datos. A Guía recolle que este problema se pode ver acentuado no caso de recompilación masiva de datos soportada por sensores en contextos de tratamento, como os realizados nas Smart Cities. O tratamento masivo de datos de carácter persoal é un dos supostos para os que o RGPD esixe unha avaliación do risco, requirindo a realización dunha avaliación de impacto relativa á protección de datos e, en función do resultado obtido, dunha consulta previa á Autoridade de Control.

Ademais, o documento alerta do enriquecemento da información dunha mesma persoa con datos de distintas fontes, o que pode derivar en novas conexións ou matices da súa personalidade que por separado non se manifestaron. “É posible incluso que, ao cruzar varias fontes de datos que supostamente eran anónimas, por agregación de datos, revélese a identidade de persoas concretas”, engade. A Axencia recomenda medir, avaliar e xestionar os riscos de reidentificación, tomando as medidas necesarias para reducir a probabilidade desa reidentificación, con consecuencias de gran impacto en caso de categorías especiais de datos como os datos médicos, de menores ou de persoas en condicións de especial vulnerabilidade.

Parte destes riscos tamén se aplican ás smart cities: “mesmo cando se recollen datos inicialmente anonimizados, a extensión, frecuencia, combinación e enriquecemento de datos poden resultar nunha reidentificación das persoas”. A Axencia aconsella tomar medidas para mitigar ese risco como aplicar técnicas de privacidade diferencial ou o emprego de estratexias de agregación de información para evitar correlacións, á vez que sinala que a instalación de sensores de forma masiva incrementa a probabilidade de que se produzan fallos de seguridade que tamén poden provir de ataques intencionados. Por tanto, a Axencia recomenda prestar atención á análise de riscos de seguridade desde o punto de vista de protección de datos, de forma que ofreza “as máximas garantías para que non se poidan producir accesos non autorizados que permitan monitorar ás persoas de forma individual ou dar lugar un filtrado masivo de datos persoais”.

Os destinatarios desta Guía son principalmente os Delegados de Protección de Datos das AAPP e os empregados públicos encargados de promover, xestionar e utilizar estas tecnoloxías na Administración, aínda que tamén pode ser útil a empresas que traballen como encargadas de tratamento ou desenvolvedoras de aplicacións para as AAPP, así como aos propios cidadáns, para entender como lles afectan estas tecnoloxías nos servizos que lles presta a Administración.

Fonte orixinal da noticia(Abre en nova xanela)

  • Servizos electrónicos