La Agencia Española de Protección de Datos ha lanzado las Orientaciones para tratamientos que implican comunicación de datos entre Administraciones públicas ante el riesgo de brechas de datos personales.
Las orientaciones se recogen en un documento dirigido al sector público que aborda la necesidad de gestionar los riesgos relacionados con el tratamiento y el intercambio de cantidades masivas de datos personales entre Administraciones Públicas. El documento está centrado en tratamientos que implican un elevado volumen de datos y que son susceptibles de sufrir brechas masivas de datos personales. De esta manera, dichas brechas pueden provocar riesgos en relación con derechos fundamentales de los afectados.
Según datos proporcionados por la propia Agencia, en 2021 se registraron 163 notificaciones de brechas procedentes del sector público. Además, la cifra aumenta en 2022, siendo 243 las notificaciones recibidas.
Para minimizar el posible impacto personal y social de una brecha de datos, las Administraciones deben implementar medidas específicas desde el diseño del tratamiento. La gestión eficaz de los riesgos requiere la coordinación entre las entidades implicadas en el tratamiento, un estudio conjunto de los distintos escenarios de brechas masivas, la adopción de procedimientos, técnicas de protección de datos y medidas de seguridad específicas y adecuadas para minimizar su impacto.
La complejidad de las infraestructuras de estos tratamientos y la interconexión de las mismas aumenta la probabilidad de producción de una brecha de datos personales. Por lo tanto, resulta fundamental aplicar garantías de privacidad y medidas de seguridad adecuadas para gestionar de forma coordinada dichos escenarios. Para ello, el documento proporciona una lista de medidas preventivas de detección, respuesta, revisión y supervisión a implementar, aunque no es exigible en su totalidad.
Medidas recomendadas
A modo de ejemplo, presentamos algunas de las medidas recogidas por las Orientaciones para el tratamiento de datos entre Administraciones Públicas:
- Medidas preventivas: categorizar datos de especial sensibilidad, aumentar la intervención humana en los procesos, establecer parámetros de monitorización, etc.
- Medidas de detección: establecer límites de consultas o accesos, gestionar los accesos por IP geolocalizadas en zonas no habituales, implementar sistemas de detección de intentos fallidos de acceso, etc.
- Medidas de respuesta: disponer de planes de respuesta rápida ante brechas, vías de notificación para la comunicación a los afectados y a autoridades competentes, etc.
- Medidas de supervisión y revisión: auditorías de privacidad y seguridad, establecimiento de canales de comunicación, reuniones entre los delegados de protección de datos y responsables de seguridad, etc.
Otras noticias de interés: Indemnización al incluir a un cliente durante 4 años en un fichero de morosos