A Axencia Española de Protección de Datos (AEPD) publicou hoxe Orientaciones para tratamentos que implican comunicación de datos entre Administracións Públicas ante o risco de brechas de datos persoais
, un documento destinado ao sector público que aborda a necesidade de xestionar os riscos derivados do tratamento de cantidades masivas de datos persoais, e o seu intercambio entre AAPP, tanto para os dereitos e liberdades das persoas como para a propia sociedade no seu conxunto.
Dirixido a organismos públicos e aos seus delegados de protección de datos, o documento está centrado naqueles tratamentos nos que, debido ao elevado volume de datos persoais e pola interconexión permanente entre sistemas das Administracións, son susceptibles de sufrir brechas masivas de datos persoais de alto risco para os dereitos fundamentais.
As Administracións Públicas, do mesmo xeito que todos os responsables do tratamento, han de asumir que as brechas de datos persoais poderían producirse e que as medidas de seguridade non garanten unha protección total. Por tanto, deben implementar desde o deseño do tratamento medidas e accións específicas para minimizar o posible impacto persoal e social dunha brecha en caso de producirse. En 2021, la Agencia recibió 163 notificaciones de brechas personales provenientes del sector público, y en 2022 esa cifra se incrementó un 49% hasta las 243.
Unha xestión eficaz dos riscos implica a actuación coordinada das entidades implicadas no tratamento, un estudo conxunto dos distintos escenarios de brechas masivas en caso de fallo das medidas de seguridade e a adopción dos procedementos, técnicas de protección de datos e medidas de seguridade específicas e adecuadas para minimizar o seu impacto sobre os dereitos fundamentais. Como material de axuda, as Orientacións inclúen unha listaxe de medidas preventivas de detección, respuesta, revisión y supervisión que se podrían implementar en el marco de este tipo de tratamientos.
A Axencia apunta nestas directrices que as infraestruturas destes tratamentos son complexas desde o punto de vista organizativo debido aos múltiples actores que interveñen, e que esa interconexión de infraestruturas para o acceso e o intercambio de datos multiplica a probabilidade de que unha brecha de datos persoais termine materializándose, xerando un gran impacto. Isto supón que deben aplicarse garantías de privacidade e medidas de seguridade, tanto técnicas como organizativas, adecuadas a estes escenarios complexos, específicas para xestionar o alto impacto social con relación á protección de datos e de forma coordinada.
Estas Orientacións súmanse ás diversas guías e ferramentas que a Axencia ten publicadas en relación coa xestión, notificación e comunicación de brechas de datos persoais, que poden consultarse en esta ligazón .
