Transformación digital y privacidad en el sector público (I)
Hace escasos días se ha publicado por la AEPD (Agencia Española de Protección de Datos) un documento –al que acertadamente elude denominar guía–, que lleva por título: “Tecnologías y protección de Datos en las AAPP” de encomiable elaboración que aquí se pretende sintetizar a título únicamente divulgativo.
Básicamente el documento hace referencia a las relaciones entre las distintas AAPP y las tecnologías más disruptivas de esta llamada cuarta revolución industrial, como son: las COOKIES, las REDES SOCIALES, el CLOUD COMPUTING, BLOCKCHAIN, la IA, el BIG DATA o las SMART CITIES, en las que aquellas de una manera u otra participan, comparten o simplemente usan como canales de información.
Efectivamente tanto el Reglamento Europeo de Protección de Datos (RGPD) como la Ley de Protección de Datos de Carácter Personal y Derechos Digitales (LOPDDG) no sólo prevén este fenómeno si no que, además, establecen normas que regulan el uso de estas tecnologías por los responsables de tratamiento toda vez que es claro que el uso de las mismas puede incrementar el riesgo frente a los derechos y libertades de los interesados afectados por dichos tratamientos y, por ende, la necesidad de incluirlas en la evaluación de riesgos. Sentado que, como se ha dicho, las AAPP no son ajenas al uso y manejo estos medios de información, la agencia trata de orientar a los responsables de los tratamientos de los datos personales de sus interesados (administrados y empelados públicos, etc,..) en orden a dar debido cumplimiento a dichas normas. Es por ello que en el documento se establece, en primer término, una definición de cada tecnología para luego determinar los requisitos que deben tenerse en cuanta en orden a su evaluación, así como los riesgos inherentes al uso de cada una de las tecnologías y los medios para mitigar los mismos.
Veamos, a continuación, cada una de estas tecnologías y sus riesgos inherentes en relación con los tratamientos de datos personales de las AAPP.
COOKIES
A pesar de que las AAPP no son, en general, prestadoras de servicios de la sociedad de la información y por ende el uso de las cookies (dispositivos de seguimiento de múltiples tipos) suele ampararse en el interés público, se reflejan aquellos supuestos en lo que bien porque se incardinan actividades económicas por parte de las AAPP bien porque se incluyen componentes embebidos de terceros en las webs, como por ejemplo, RSS etc,.. (no el simple redireccionamiento a tales terceros mediante enlaces) las AAPP están sujetas a la normativa de la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico) y por tanto la observancia de dichas normas es coadyuvante de la privacidad de los tratamientos de los datos personales de los visitantes y usuarios de sus webs o apps.
Debe expresamente recalcarse que, están totalmente prohibidos los denominados muros de cookies y que NO puede limitarse el acceso de los usuarios a estas aplicaciones por el hecho de no aceptar las cookies.
Los riesgos de privacidad para los Derechos y Libertades de los interesados afectados por el tratamiento de sus datos con ocasión del uso de las cookies, serian, grosso modo, los siguientes:
- “Seguimientos” más allá de los autorizados por la finalidad de las cookies aceptadas
- Tratamientos de datos de categorías especiales a través de estas aplicaciones cuyas cookies pueden implicar no adoptar las oportunas medidas de privacidad previstas por el ENS (esquema nacional de seguridad)
- Uso de sistemas de gestión como CMS que incluyen cookies de tercera parte que pueden no cumplir tales medidas, junto a aplicativos que directamente tratan de eludir dichos controles simulando que las cookies son de la AAPP cuando no lo son
- Riesgo de re identificación cuando se presta un servicio por la AAPP que no requiere autenticación ni identificación del usuario
- Ataques: captura de datos de identificación y autenticación y secuestro de sesión mediante aplicativos maliciosos
REDES SOCIALES
En relación con las redes sociales (RSS) y su uso por las AA.PP. que puede tomar muchas formas como lo sería la presencia de perfiles ‘oficiales’ de los organismos en redes sociales abiertas o comerciales, cerradas, grupos no oficiales y otros.
Especial mención se hace a los grupos de empleados públicos que de manera oficial u oficiosa pueden provocar situaciones de riesgo como abuso o acoso laboral, sexual o discriminación etc,.. siendo claro que las políticas de la AAPP en este sentido deben ser muy claras y si se admite el uso de estas redes, el tratamiento de los datos personales será responsabilidad de la misma y por tanto sometido a RGPD y ENS.
Caso distinto será cuando un empleado publico hace uso personal de una red social publicando información de carácter personal que pude infringir estas normas. Esta actividad debe quedar prohibida por la AAPP si quiere poder limitar la responsabilidad al propio empleado que hace caso omiso de la misma.
Así mismo, el uso de redes sociales como canal de información o de prestación de servicios a los ciudadanos deberá siempre contar con el consentimiento de estos y en concreto ha de ser informado, específico, libre e inequívoco además de no prestarse en condiciones en las que exista un claro desequilibrio entre el interesado y el responsable del tratamiento. En el caso de que la Administración proporcionase dicho canal como único medio para un servicio, sin proporcionar canales alternativos a través de los cuales este pueda ser prestado en un plano de igualdad, el consentimiento no podría ser considerado libre (p.e. realizar iniciativas de participación ciudadana únicamente a través de redes sociales obliga a aquellos sujetos que quieran tener influencia en dicha iniciativa a consentir en el tratamiento de un tercero y, en consecuencia, a otorgar un consentimiento que no cumplirá los requisitos que exige el RGPD), además de suponer un obstáculo para aquellos ciudadanos más afectados por la brecha digital ante la imposibilidad de acceder a la información proporcionada o ejercer los derechos que les asisten.
Por regla general, el tratamiento de los datos por las AAPP a través de las redes en las que los usuarios poseen cuenta, se basará en el consentimiento o en la existencia de un contrato para cuya ejecución dichos datos son necesarios sin perjuicio de otras interacciones que se producen entre AAPP con cuenta oficial en RSS e interesados y cuya legitimación estaría basada en el cumplimiento de una misión realizada en interés público o en el ejercicio de los poderes públicos conferidos.
Los riesgos de privacidad para los Derechos y Libertades de los interesados afectados por el tratamiento de sus datos con ocasión del uso de las RSS, serian, grosso modo, los siguientes:
- Revelación indeseada de datos personales de empleados públicos o administrados por publicación de documentos (CSV, metadatos, etc,..)
- Re identificación de ciudadanos participantes en actividades de una AAPP, con las IP, metadatos, dispositivos, etc,..
- Suplantación de administrados en cuentas en sitios oficiales de una AAPP
- Riesgo de tratamiento de datos de menores de edad
CLOUD COMPUTING
El uso de servidores remotos para diferentes fines (almacenar información, copias, sistemas, aplicaciones, etc,…) está actualmente clasificado en las diferentes soluciones que proporcionan a los clientes, tales como IaaS (Infraestructura como Servicio) si el proveedor sólo proporciona capacidad de almacenamiento y proceso en bruto; PaaS (Plataforma como servicio), si se proporcionan las utilidades básicas para construir aplicaciones sobre las que desarrollar soluciones, y SaaS (Software como servicio) cuando el cliente encuentra en la nube todas las herramientas finales para implementar los procesos de su organización. Otra posible clasificación de las nubes es la separación entre públicas y privadas. Hablamos de nube pública cuando los proveedores proporcionan servicios ‘sueltos’ a diferentes clientes, como espacio para webs, almacenamiento o capacidad de proceso. En el otro extremo, hablamos de nube privada cuando el proveedor ofrece una serie de servicios agrupados y de forma cerrada a terceros. Podríamos comparar una nube privada con una red privada o una intranet de una organización, con sus elementos aislados del exterior, salvo por accesos localizados, y con una gestión centralizada.
Tanto para sus propios servicios internos, cuanto para la prestación de servicios a sus administrados, las AAPP utilizan estas soluciones –la más conocida es SARA (Sistemas de Aplicaciones y Redes para las Administraciones)– y facilitan que puedan contar con un catálogo de servicios “marca blanca” para multitud de entidades públicas con mismas necesidades. Empero ello implica que el cumplimiento normativo ligado a la prestación de estos servicios dependa, en gran medida, de un tercero que debe garantizar la seguridad del tratamiento de los datos personales por dicha AAPP que es la responsable de los mismos, en su quíntuple vertiente: la integridad, la confidencialidad, la disponibilidad, la autenticidad y la trazabilidad de la información tratada, normalmente a través de contratos y todo tipo de cláusulas y adendas, etc,.. Y aquí es donde se nos recuerda por la AEPD que la contratación de un servicio en la nube no supone el desplazamiento total de las obligaciones de gestión de la seguridad al encargado del tratamiento sino que corresponde siempre al responsable de un tratamiento la toma de decisiones con relación a los requisitos de protección de datos personales entre los que, necesariamente, se deberá de contar con los requisitos de seguridad que establece el artículo 32 del RGPD. A parte de las obligaciones de supervisión que tiene el responsable sobre las medidas a cargo del encargado, el responsable siempre tendrá la obligación de implementar alguna de esas medidas, como podría ser, la definición y gestión de la política de control de accesos.
En lo que se refiere expresamente a las AAPP además, debe asegurarse también dónde estarán ubicados los servidores y desde donde se van a prestar los servicios contratados antes incluso de firmar el contrato según la reciente normativa en vigor (Real Decreto Ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de Administración Digital, contratación del sector público y telecomunicaciones). Y por consiguiente dada la singularidad del RGPD a estos efectos y su extraterritorialidad respecto de los datos de los ciudadanos UE, este tema no es baladí.
Los riesgos de privacidad para los Derechos y Libertades de los interesados afectados por el tratamiento de sus datos con ocasión del uso de las RSS, serian, grosso modo, los siguientes:
- Amenazas a la seguridad de la información en esas cinco vertientes en relación con los tratamientos de datos personales y en concreto a aquellos más sensibles y cuyo tratamiento en todo o en parte se deja en manos de tercero
- Exposición de los datos de los empleados públicos sobre todo cuando están en TELETRABAJO y/o usando dispositivos de accesos remotos etc,..
- Riesgo de incumplimiento de contrato del proveedor (sobre todo si está fuera del territorio nacional)
Hasta aquí la primera parte de este post. Continuaremos con BIG DATA, IA, BLOCKCAHIN y SMART CITIES en próxima publicación.
Socio y letrado del Área Compliance y Legaltech en Devesa & Calvo Abogados.