Para dar por concluido el análisis de la Guía referente a las tecnologías y protección de datos en las Administraciones Públicas (en adelante AA. PP) publicada por la Agencia Española de Protección de Datos (AEPD) que hemos venido analizando en las últimas publicaciones de nuestro blog (parte I, parte II y parte III), en la cual se trata de clarificar como las AA.PP han tenido que adaptar su forma de trabajar a los nuevos tiempos y las nuevas tecnologías, en el presente artículo vamos a centrarnos en dos de los dos puntos que se encuentran muy presentes en nuestros días, tanto en las AA.PP como en las entidades en general:
- CLOUD COMPUTING O COMPUTACIÓN EN NUBE
Aunque parezca reciente, el concepto de una nube de servicios electrónicos globales empezó a proponerse ya en 1963, en un memorándum para ARPA de Joseph C.R. Licklider, en el que contemplaba las ventajas de una infraestructura de red que permitiese compartir servicios. Evidentemente, desde entonces, las capacidades de transmisión, procesamiento y almacenamiento de información han crecido muy notablemente, derivando en lo que hoy conocemos como la nube:
“Se trata de una forma de utilizar los servidores en localizaciones remotas de una forma flexible y transparente. Es decir, es una tecnología que permite acceder remotamente, de cualquier lugar del mundo y en cualquier momento, a softwares, almacenamiento de archivos y procesamiento de datos a través de Internet, sin la necesidad de conectarse a un ordenador personal o servidor local. Este modelo elimina los costes de las inversiones iniciales y la obsolescencia.”
Si te apetece ahondar más sobre el tema, en nuestro blog contamos con una publicación especifica al respecto, puedes visualizarla pinchando aquí.
En cuanto al caso concreto de las AA. PP, estas utilizan la nube tanto para prestar servicios a los ciudadanos como para su propia gestión interna. De hecho, la Secretaría General de Administración Digital proporciona a la Administración General del Estado y sus organismos públicos un servicio de computación y almacenamiento en modo nube híbrida a través del servicio compartido Nube “SARA”.
Un punto muy importante en materia de protección de datos a la hora de contratar estos servicios por parte de las AA. PP es asegurarse de que el prestador de servicios con el que contraten garantice la seguridad y privacidad en su oferta:
Pero, ¿cómo conseguimos esto?
Primeramente, hemos de delimitar la figura que asume cada una de las partes en cuanto al Reglamento General de Protección de Datos (RGPD), la AA. PP sería el responsable del Tratamiento de los Datos, mientras que la empresa que preste el servicio de Cloud Computing asumirá la figura de Encargado del Tratamiento.
Una vez que ya tenemos delimitada cada figura del tratamiento de datos, se torna necesaria la firma de un contrato de acceso a datos por cuenta de terceros para lo que hemos de acudir al Art. 28.3 RGPD:
“3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable”
Por lo tanto, las AA. PP han de asegurarse de tener firmado el contrato de acceso a datos por cuenta de terceros, dado que se trata de una regla general de obligado cumplimiento tanto para responsables cómo para encargados del tratamiento.
No obstante, la contratación de un servicio en la nube no supone el desplazamiento total de las obligaciones de gestión de la seguridad al encargado del tratamiento, sino que corresponde siempre al responsable de un tratamiento la toma de decisiones con relación a los requisitos de protección de datos personales entre los que, necesariamente, se deberá de contar con los que establece el artículo 32 del RGPD:
“El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”
Para finalizar este punto, hemos de atender a los posibles riesgos para los derechos y libertades de los interesados asociados a la computación en nube, como puede ser la privacidad de la información almacenada, así como la continuidad de los servicios, los cambios legales y la pérdida de control de la infraestructura y de las aplicaciones utilizadas.
En el caso particular de las AA. PP., por el volumen y la sensibilidad de los datos que gestionan, estos riesgos deben ser objeto de un riguroso análisis en cada escenario en que se plantee la utilización de este tipo de soluciones, en particular, cuando de los servicios desplegados en la nube dependan los derechos y libertades de los ciudadanos. Por lo tanto, a la hora de diseñar el tratamiento, es conveniente evaluar la incorporación y aplicación de mecanismos de minimización de datos en función del riesgo, en particular, limitar la extensión de los datos, subir a la nube datos anonimizados o seudonimizados, emplear cifrado homomórfico, etc. En definitiva, lo que en la normativa en materia de protección de datos (RGPD y Ley Orgánica de Protección de Datos Personales Española – LOPDGDD) se conoce como “Privacidad desde el diseño”.
- BIG DATA O TRATAMIENTO MASIVO DE DATOS
Seguro que es un término del que habéis oído hablar muchísimas veces, dado que está siendo muy utilizado en los últimos tiempos. Si atendemos a la definición concreta por ISO 20547-5, siendo esta la norma que se encarga de describir los estándares relevantes al respecto, así como las prioridades para el desarrollo de dichos estándares en materia de Big Data;
“Cuando hablamos de Big Data, o tratamiento masivo de datos, nos referimos a grandes conjuntos de datos, caracterizados por su volumen, variedad, velocidad y/o variabilidad, que requieren de una tecnología escalable para un almacenamiento, manipulación, gestión y análisis eficiente.”
Si bien es cierto, que como consecuencia del gran desarrollo en los últimos años de esta metodología se ha abierto un amplio abanico de tratamientos al respecto, incluso el propio Ministerio de Asuntos Económicos y transformación Digital ha puesto sus medios disponibles en aras de que las AA. PP utilicen el Big Data, lo cual han podido llevar a cabo a través de la herramienta “Aporta”.
A pesar de las grandes ventajas con las que cuenta el Big Data, como por ejemplo permitir obtener informaciones en tiempo real, o casi real, a partir de fuentes de información y conjuntos de datos repartidos por todo el mundo, no debemos de olvidar que siempre que se realiza un tratamiento de datos de carácter personal hemos de cumplir con la normativa al respecto, LOPDGDD y RGPD;
Desde el punto de vista de las normas indicadas es de vital importancia asegurarse por un lado de que existe una legitimación para dicho tratamiento masivo de datos, para lo cual debemos acudir al Art. 6 RGPD:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
Por lo tanto, como regla general si se cuenta con alguna de las premisas indicadas, se podrá realizar el tratamiento de datos dispuesto. No obstante, para este caso concreto es importante tener en cuenta que no todas las bases legitimadoras se pueden invocar para el caso de tratamientos realizados por las AA.PP., sino que habrá que atender a cada caso y tratamiento concreto en aras de valorar la base legitimadora que resulta de conveniente aplicación y siempre, dentro de las desarrolladas en el artículo 6 del RGPD.
Pero no todo queda aquí, porque también hemos de atender a la tipología de datos de carácter personal que se vayan a tratar a través del Big Data, y, en el caso de que se incluyan categorías especiales de datos, es necesario levantar previamente la prohibición para su tratamiento, la cual encontramos recogida en el Artículo 9.1 RGPD y podrá levantarse si se cumple con alguno de los puntos del Art. 9.2.RGPD, como puede ser el consentimiento del interesado, el cumplimiento de obligaciones legales por parte del responsable del tratamiento, la protección de intereses vitales, etc.
Es importante señalar que las condiciones que hemos indicado no sólo han de cumplirse para los datos recogidos sino también para aquellos que puedan ser inferidos a partir del cruce y conexión de los datos originales. Además, en la fase de diseño de los tratamientos Big Data hay que analizar de forma objetiva qué cantidad de datos es necesaria y suficiente con relación al objetivo del tratamiento, es decir, ajustarse al principio de minimización de datos.
A mayor abundamiento, tal y como hemos hecho en el punto anterior y en lo relativo a los riesgos para los derechos y libertades asociados al Big Data, en este punto las AA.PP están realizando un tratamiento masivo de datos de carácter personal, lo cual implica cumplir con una serie de premisas adicionales, como es el hecho de realizar una Evaluación de Impacto y en su caso, dependiendo del resultado de esta plantear consulta previa sobre el tratamiento a la Agencia Española de Protección de Datos.
A modo de cierre de nuestro hilo de artículos en el blog sobre la Guía referente a las tecnologías y protección de datos en las Administraciones Públicas, tal y como se indica en esta, consideramos necesario incidir en que todos los tratamientos realizados por parte de las AA.PP conllevan consigo una serie de riesgos que pueden afectar a los derechos y libertades de los interesados, derivando dichos riesgos del volumen de sujetos afectados, de la extensión de los tratamientos de datos realizados y del desequilibrio existente entre AA.PP y ciudadanos de “a pie”. Por lo cual, lo óptimo seria que las AA.PP estableciesen la ya mencionada privacidad desde el diseño a la hora de utilizar cualquier metodología de las analizadas en nuestro blog.
