La Agencia Española de Protección de Datos ha publicado unas orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales de alto riesgo para los derechos fundamentales, debido a que pueden afectar a un gran volumen de población y pueden generar un gran impacto a nivel social. Estas orientaciones complementan lo establecido en la Guía para la notificación de brechas de datos personales de la AEPD, y en la Gestión del riesgo y evaluación de impacto en tratamientos de datos personales.
La gestión masiva de datos obliga a los responsables del tratamiento a asumir que las brechas son inevitables y pueden producirse y que las medidas de seguridad “no garantizan la protección total”, si bien, deben “implementar, desde el diseño de las operaciones de intercambio de datos, medidas específicas para minimizar el posible impacto personal y social de una brecha”, esto es, una gestión integral que prevea las medidas y acciones que deben adoptarse en el caso de que la brecha masiva se llegue a producir.
La AEPD con esta nueva guía pretende que tanto los responsables del tratamiento en el Sector Público como sus Delegados de Protección de Datos lleven a cabo algunas de las medidas preventivas, de detección, de respuesta, de revisión y de supervisión que establece, pues las consecuencias de una brecha masiva de datos personales en el ámbito de las AAPP han de analizarse desde dos perspectivas: por un lado el elevado impacto social y por otro los derechos fundamentales del individuo.
En primer lugar, la Agencia reconoce que los tratamientos de datos en el ámbito público, en las AAPP en general, son cada vez más elevados -en lo referente al volumen de datos-, y más complejos en cuanto al número de intervinientes, medios técnicos y tecnologías empleadas: “tratamiento de datos personales en los que participan múltiples organizaciones con distintos tipos de roles en relación con la protección de datos, pluralidad de responsables intervinientes en lo relativo a la articulación de las garantías del artículo 28 del RGPD, intervención de subencargados del tratamiento para la aportación de tecnologías, múltiples comunicaciones de datos entre organizaciones en las que todas ellas son responsables de un tratamiento distinto de esos datos personales, situaciones de corresponsabilidad, ...”.
Pero el hecho de que las medidas de seguridad a adoptar de cara a evitar que las brechas de seguridad se produzcan sean una obligación de medios y no de resultado, no es óbice para gestionar el riesgo desde un enfoque que abarque todo, tanto el riesgo para los derecho y libertades de los individuos como el riesgo para la propia sociedad.
Por lo que los responsables del tratamiento y los DPD de las AAPP deben plantearse antes de que se produzca una brecha “los posibles escenarios de materialización de un compromiso de los datos personales, determinar sus consecuencias, y evaluar cómo afecta a los derechos y libertades de los interesados, sobre todo si se trata de consecuencias irreversibles en sus derechos fundamentales”, y a continuación, establecer medidas adicionales dirigidas exclusivamente a disminuir las posibilidades de que suceda la brecha, asumiendo, a su vez, que siempre hay posibilidad de que antes o después se produzca la brecha, por lo que también deben establecerse medidas específicas para eliminar, disminuir o revertir el impacto para cuando se origine.
El responsable del tratamiento según los art. 24 y 35 del RGPD debe llevar a cabo una “Evaluación de Impacto para la Protección de Datos” en el seno de su organización, y también tiene el deber de garantizar una correcta evaluación del riesgo, así como la ejecución, la revisión y la actualización de medidas apropiadas para garantizar el cumplimiento. Para ello deberá exigir un esfuerzo coordinado de encargados del tratamiento, en su caso, subencargados, otros intervinientes, proveedores tecnológicos, etc.
En concreto, el art. 24 RGPD establece que el responsable del tratamiento debe adoptar medidas apropiadas para garantizar que el tratamiento cumple con la normativa de protección de datos, para ello deberá diseñar medidas en función de la naturaleza, contexto, ámbito, fines y riesgos para los derechos y libertades de los interesados. En definitiva, “el responsable ha de evaluar los riesgos que pueden aparecer, diseñar medidas orientadas a minimizar su probabilidad e impacto, y determinar en qué grado dichas medidas están gestionando apropiadamente los riesgos concretos en un proceso dinámico”.
En definitiva, no se trata de acumular medidas sin más, se trata de implementar las medidas apropiadas teniendo en cuenta lo que solucionan, su efectividad real en todos los contextos de riesgo, etc.
Conviene recordar que el ENS (Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad), que está alineado con la estrategia de “mínimo privilegio”, aplica a sistemas de información de AAPP y cualquier entidad privada que preste servicio a una AAPP. Por ejemplo, el ENS también es de obligado cumplimiento para los sistemas de información de entidades privadas que actúen como encargados o subencargados del tratamiento de AAPP.
El Delegado de Protección de Datos, DPD, en virtud del Art. 39 RGPD, es una figura fundamental para el adecuado diseño del tratamiento, colabora con los responsables de seguridad, y “es especialmente importante en caso de un incidente de seguridad para poder asesorar en cuanto a las medidas a tomar para proteger los derechos y libertades de los interesados tanto a corto plazo, en el marco de una brecha de datos personales, como a largo plazo, para implementar medidas de privacidad que minimicen el impacto para los sujetos de los datos o la sociedad en su conjunto”. La figura del DPD es necesaria (y obligatoria) para que los responsables puedan cumplir con sus obligaciones, y, en el hipotético caso de que acaezca una brecha se encargará de recopilar toda la información, analizarla y extraer las conclusiones relevantes para responder a la brecha, documentarla, notificarla y comunicar a los afectados si fuera necesario.
Por último, la AEPD hace referencia a la “Política de Protección de Datos” y recuerda a las AAPP que es más que un documento, es una “forma de actuar eficaz” en aras a cumplir verdaderamente con la normativa de protección de datos, por lo que recomienda prestar especial atención a su redacción y cumplimiento.
Para finalizar, la Agencia pone ejemplos de algunas de las medidas preventivas que las AAPP podrían implementar si se adecuan a sus necesidades y encajan en el diseño de sus medidas:
Medidas preventivas:
Medidas de detección:
Medidas de respuesta:
Medidas de supervisión y revisión:
Unive Abogados ofrece y presta servicio de todas aquellas tareas relacionadas con la implantación al Reglamento Europeo de Protección de Datos y a la LOPDGDD, para que las AAPP, de cualquier ámbito, se encuentren adaptadas y cumplan la normativa de protección de datos. A su vez, ofrecemos la posibilidad de asumir la función de Delegado de Protección de Datos, ya que disponemos de profesionales con conocimientos especializados en materia de protección de datos y compliance.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted