¿Por qué las orientaciones de la AEPD sobre tratamientos que implican comunicaciones de datos entre Administraciones Públicas son también relevantes para el sector privado?
Post jurídico | Abril 2023
Miguel Recio
La Agencia Española de Protección de Datos (AEPD) publicó en marzo de 2023 unas orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales. Las orientaciones incluyen una lista ejemplificativa de medidas que también podrían (y deberían) ser tenidas en cuenta por el sector privado con la finalidad mitigar el riesgo existente y actuar conforme al principio de responsabilidad proactiva (“accountability”).
Las orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales están dirigidas a responsables del tratamiento en aquellos casos en los que se produce un intercambio masivo de datos personales y la interconexión permanente entre sistemas de las Administraciones Públicas. El objetivo es prevenir el riesgo y, si la amenaza se materializase, mitigar el impacto que puedan tener las brechas de datos personales cuyo tratamiento conlleva un alto riesgo para las personas afectadas. Además, las orientaciones están dirigidas también a los delegados de protección de datos (en lo sucesivo, DPD) del sector público.
El documento está dividido en varios apartados que se centran en la alta complejidad de los tratamientos de datos a los que se refieren, por la automatización del intercambio de datos y el elevado volumen de datos; la estimación y gestión del riesgo que implican una brecha de datos personales; las medidas apropiadas en atención al nivel de riesgo para los derechos y las libertades fundamentales; la necesidad de cooperación entre DPDs y responsables de seguridad, así como la necesidad de una política de protección de datos como parte de la gobernanza y la política de información de la entidad u organización de que se trate en cada caso.
Aunque uno de los factores que se tienen en cuenta para determinar la alta complejidad de los tratamientos de datos que se llevan a cabo es el volumen de los datos, en las orientaciones no se incluye ningún número, si bien se menciona como referencia “todos los ciudadanos de una Comunidad Autónoma, de España o de Europa”. Esta referencia sería extrapolable a otros casos, ya que el responsable del tratamiento tendría que evaluar si la brecha de datos afecta a todos sus clientes o a una parte de sus clientes que sean personas físicas, etc., cuando sufre una brecha de datos personales.
Como parte de las orientaciones, la AEPD incluye también una lista de medidas ejemplificativas, y por tanto sin carácter exhaustivo, preventivas, de detección, de respuesta, de revisión y supervisión que los responsables del tratamiento podrían implementar. Entre estas medidas están las que se indican a continuación.
Medidas preventivas, tales como (i) categorizar datos que en un momento dado puedan ser considerados de especial sensibilidad; (ii) implementar políticas de cancelación o bloqueo de datos que no deben estar en los sistemas de producción; (iii) disponer en los planes de continuidad de negocio y resiliencia, que incluyan copias de seguridad de datos y también de continuidad de los tratamientos; (iv) disponer de copias de seguridad en sistemas independientes y separados de los de producción; (v) tener redactada e implementada una política de gestión de contraseñas actualizada, incluyendo la imposibilidad de utilizar contraseñas débiles y/o comprometidas en otras brechas de datos personales, o (vi) añadir un segundo y/o tercer factor de autenticación, sin que eso implique necesariamente tratamientos biométricos o en dispositivos móviles.
Medidas de detección como, por ejemplo, (i) gestionar de forma específica las consultas/accesos desde IP geolocalizadas en áreas geográficas fuera del ámbito de las organizaciones o no habituales; (ii) implementar sistemas que detecten intentos fallidos de acceso a datos o (iii) sistemas de detección de situaciones de exfiltración de datos.
Medidas de respuesta consistentes, por ejemplo, en (i) disponer de procedimientos que permitan que los incidentes de seguridad escalen de forma rápida tanto al DPD como a los círculos de decisión de la organización; (ii) tener procedimientos de notificación de brechas de datos personales a las autoridades competentes que concrete todos los aspectos fundamentales y de comunicación a los afectados, así como (iii) denunciar los hechos a autoridades policiales/judiciales en caso de que se haya sufrido un delito.
Medidas de supervisión y revisión tales como (i) reuniones periódicas entre los DPDs y responsables de seguridad o (ii) la realización de auditorías de privacidad y de seguridad.
En cualquier caso, teniendo en cuenta el principio de responsabilidad proactiva (en inglés, “accountability”) se trata de medidas que cualquier organización debe considerar ya que, aunque no se trate del intercambio masivo de datos personales entre organizaciones del sector público o privado, una brecha de datos personales puede requerir adoptar estas y otras medidas con la finalidad de dar respuesta a una situación que puede tener importantes implicaciones para las personas a las que se refieren los datos personales.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
