La AEPD publica una nueva guía para orientar al sector público ante el riesgo de brechas de datos
La guía busca ayudar a las entidades gubernamentales a abordar los riesgos derivados del tratamiento de cantidades masivas de datos personales
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una guía con orientaciones para las Administraciones Públicas en relación al riesgo de brechas de datos personales. Este documento busca ayudar a las entidades gubernamentales a abordar los riesgos derivados del tratamiento de cantidades masivas de datos personales y su intercambio entre diferentes entidades del sector público.
En los últimos años ha habido un aumento significativo en las notificaciones de brechas de datos provenientes del sector público. En 2021 la AEPD recibió 163 notificaciones de brechas de datos personales relacionadas con el sector público, mientras que en 2022 esa cifra se incrementó en un 49 % llegando a 243 notificaciones. Esto evidencia que las Administraciones Públicas también son susceptibles de sufrir brechas de datos, a pesar de las medidas de seguridad implementadas, y que es necesario adoptar acciones específicas para minimizar su impacto.
La guía de la AEPD destaca la importancia de una gestión eficaz de los riesgos asociados a la comunicación de datos entre Administraciones Públicas. Debido al elevado volumen de datos personales que se manejan y a la interconexión de infraestructuras, las brechas de datos en este contexto pueden tener un gran impacto en los derechos fundamentales de las personas afectadas. Por lo tanto, se hace hincapié en la necesidad de implementar medidas y acciones desde el diseño del tratamiento para minimizar el impacto personal y social en caso de que se produzca una brecha.
Medidas preventivas
El documento de la AEPD incluye un listado de medidas preventivas de detección, respuesta, revisión y supervisión que se podrían implementar en el marco de los tratamientos que implican comunicación de datos entre Administraciones Públicas. Se destaca que las infraestructuras de estos tratamientos son complejas desde el punto de vista organizativo debido a los múltiples actores que intervienen, lo que aumenta la probabilidad de que una brecha de datos personales ocurra y genere un gran impacto. Por lo tanto es necesario aplicar garantías de privacidad y medidas de seguridad, tanto técnicas como organizativas, adecuadas a estos escenarios complejos y específicas para gestionar el alto impacto social en relación a la protección de datos de forma coordinada.
La guía de la AEPD también enfatiza la importancia de la colaboración y coordinación entre las diferentes entidades implicadas en el tratamiento de datos en el sector público. Esto implica establecer mecanismos de comunicación y cooperación efectivos, así como compartir buenas prácticas y lecciones aprendidas para mejorar la gestión de los riesgos asociados a las brechas de datos.
Además de las medidas preventivas la guía también aborda la importancia de la notificación y gestión adecuada de las brechas de datos en caso de que se produzcan. Se subraya la necesidad de notificar a la AEPD y a las personas afectadas en un plazo de tiempo razonable, así como de implementar medidas de mitigación y de revisar y actualizar las medidas de seguridad para prevenir futuras brechas.