L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat avui Orientaciones per a tractaments que impliquen comunicació de dades entre Administracions Públiques davant el risc de bretxes de dades personals , un document destinat al sector públic que aborda la necessitat de gestionar els riscos derivats del tractament de quantitats massives de dades personals, i el seu intercanvi entre AAPP, tant per als drets i llibertats de les persones com per a la pròpia societat en el seu conjunt.
Dirigit a organismes públics i als seus delegats de protecció de dades, el document està centrat en aquells tractaments en els quals, a causa de l'elevat volum de dades personals i per la interconnexió permanent entre sistemes de les Administracions, són susceptibles de sofrir bretxes massives de dades personals d'alt risc per als drets fonamentals.
Les Administracions Públiques, igual que tots els responsables del tractament, han d'assumir que les bretxes de dades personals podrien produir-se i que les mesures de seguretat no garanteixen una protecció total. Per tant, han d'implementar des del disseny del tractament mesurades i accions específiques per minimitzar el possible impacte personal i social d'una bretxa en cas de produir-se. En 2021, l'Agència va rebre 163 notificacions de bretxes personals provinents del sector públic, i en 2022 aquesta xifra es va incrementar un 49% fins a les 243.
Una gestió eficaç dels riscos implica l'actuació coordinada de les entitats implicades en el tractament, un estudi conjunt dels diferents escenaris de bretxes massives en cas de fallada de les mesures de seguretat i l'adopció dels procediments, tècniques de protecció de dades i mesures de seguretat específiques i adequades per minimitzar el seu impacte sobre els drets fonamentals. Com a material d'ajuda, les Orientacions inclouen un llistat de mesures preventives de detecció, resposta, revisió i supervisió que es podrien implementar en el marc d'aquest tipus de tractaments.
L'Agència apunta en aquestes directrius que les infraestructures d'aquests tractaments són complexes des del punt de vista organitzatiu a causa dels múltiples actors que intervenen, i que aquesta interconnexió d'infraestructures per a l'accés i l'intercanvi de dades multiplica la probabilitat que una bretxa de dades personals acabi materialitzant-se, generant un gran impacte. Això suposa que han d'aplicar-se garanties de privadesa i mesures de seguretat, tant tècniques com a organitzatives, adequades a aquests escenaris complexos, específiques per gestionar l'alt impacte social en relació amb la protecció de dades i de forma coordinada.
Aquestes Orientacions se sumen a les diverses guies i eines que l'Agència té publicades en relació amb les gestió, notificació i comunicació de bretxes de dades personals, que poden consultar-se en aquest enllaç .