Riesgo de brechas de datos personales en cesiones entre administraciones públicas

La Agencia Española de Protección de Datos (AEPD) ha publicado, con fecha de 28 de marzo de 2023, el documento “Orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales”. Este documento aporta una guía para gestionar los riesgos derivados del tratamiento masivo de datos (de altos volúmenes de datos) y su intercambio entre las diferentes Administraciones Públicas.

Como ya se sabe, una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados de forma digital o en formato papel (datos automatizados o no automatizados). En general, se trata de un suceso que ocasiona destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Este documento se dirige a los Responsables de Tratamiento de las Administraciones Públicas y a sus Delegados de Protección de Datos. Los tratamientos de datos personales en los que se debe acceder o comunicar con grandes repositorios entre diferentes Responsables de Tratamiento, es una cuestión que responde a las actuales notas de interconexión, digitalización e interconectividad.

A nivel organizativo, es una cuestión compleja, ya que intervienen múltiples actores que pueden tener distintas esferas de responsabilidad y  numerosos medios técnicos y tecnologías empleadas, con lo cual aumenta la posibilidad de incurrir en riesgos de seguridad en relación con los datos personales, lo que incrementa la posibilidad de materialización de brechas de seguridad.

Por todo esto, tanto los derechos y libertades de las personas, como las propias organizaciones en su conjunto, se ven afectados. Será necesario estudiar las consecuencias que puede tener una brecha masiva de datos de las Administraciones Públicas, por un lado, sobre los derechos fundamentales del individuo y, por otro lado, sobre el impacto que podría suponer para la garantía del interés público y sus efectos sobre los derechos fundamentales de la propia sociedad. El análisis de impacto de brechas masivas de datos para los derechos fundamentales debe abarcar mayor dimensión y se deben añadir los nuevos factores de riesgo que podrían interactuar entre sí e incrementar el nivel de riesgo del tratamiento. Para ello, habrá que analizar las dependencias entre los factores y sus efectos combinados, o las interacciones mutuas que existen entre ellos.

No solo hay que implementar medidas para reducir la probabilidad de que se produzcan las brechas de seguridad, ya que siempre quedará una probabilidad residual de que la brecha vuelva a materializarse. Por ello, los Responsables deberán considerar medidas específicas (desde el diseño y por defecto) para eliminar, disminuir o revertir el impacto de esta sobre el interesado cuando se produzca teniendo en cuenta, entre otras cuestiones: el impacto personal y social que puede tener la brecha de datos personales si se materializa, las medidas de protección que deberían de estar implementadas a priori y las medidas de respuesta que deben preverse a posteriori.

-> Gestión de riesgos ante una brecha de datos personales.

La gestión de riesgos y la evaluación de impacto en materia de protección de datos (EIPD) son obligaciones del Responsable de tratamiento, a tenor de los artículos 24 y 35 RGPD. El Responsable podrá recibir asistencia de terceros para el cumplimiento de sus obligaciones pudiendo reclamarla, por ejemplo, para el cumplimiento de las obligaciones con relación a la gestión del riesgo para los derechos o libertades de las personas físicas. Esta asistencia se va a extender incluso a la preparación de EIPD en el ámbito de los servicios que los Encargados vayan a aportar, con el fin de integrarlas en la EIPD del tratamiento de datos del Responsable.

Cabe destacar el principio de responsabilidad proactiva (art. 5.2 RGPD), en el sentido de que el Responsable tendrá la obligación de exigir la información y colaboración necesaria a Encargados y Proveedores tecnológicos para garantizar y poder demostrar el cumplimiento de la norma.

En el caso de que surja una situación de comunicación de datos de las Administraciones Públicas, las medidas y las garantías deberán establecerse tanto por las entidades cedentes de los datos (las que comunican o permiten el acceso a los datos) como por los destinatarios (entidades que reciben o consultan esos datos). El hecho de que exista un interés público o una obligación legal para comunicar o permitir el acceso a datos, no implica que esta comunicación o acceso se pueda realizar sin adoptar las medidas adecuadas.

-> Medidas apropiadas al nivel de riesgo para derechos y libertades.

Es necesario aplicar un alto nivel de protección de datos por defecto. Es decir, en esta coyuntura, las estrategias tradicionales de control de acceso con usuario y contraseña son necesarias, pero insuficientes. Las medidas que se deben aplicar deben ser: preventivas, de detección, de respuesta y de supervisión y revisión.

En el caso de las medidas de ciberseguridad se deben alinear con las estrategias conocidas como “mínimo privilegio” (“zero trust”), debiendo proporcionar una definición precisa de roles de usuario y sus necesidades de acceso, una verificación de identidad estricta para cada persona y dispositivo que intente acceder a un recurso de la red, un acceso con privilegios y exposición mínima de datos, y, una asunción de las vulneraciones (es decir, limitar el daño y micro segmentar el acceso, de forma temporal).

El Esquema Nacional de Seguridad (Real Decreto 311/2022) está alineado con esta estrategia y aplica a sistemas de información de Administraciones Públicas y cualquier entidad privada que preste servicio a una Administración Pública. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, recoge en su disposición adicional primera que, habrá que acudir al Esquema Nacional de Seguridad para determinar las medidas que se deban tomar en casos de tratamientos de datos personales, entendiendo esto, de forma análoga, como un criterio de mínimos. En última instancia, las medidas determinadas por el Esquema Nacional de Seguridad deben verse incrementadas si el resultado del análisis de riesgos en protección de datos lo determina de este modo.

-> Notificación de Brechas de Datos Personales en el año 2022.

En enero de 2023 se ha publicado el documento sobre las brechas de seguridad notificadas a la Agencia Española de Protección de Datos durante el año 2022. El total de notificaciones recibidas, por cualquier canal de comunicación, ascendió a 1751. En el año 2021 la AEPD recibió 163 notificaciones de brechas provenientes del sector público y, en el 2022, un total de 243 (un 49% más). La tipología de brecha más común ha sido la de confidencialidad. Los medios de materialización de las brechas de datos más destacados fueron: el acceso no autorizado a datos en SI, dispositivo cifrado / secuestro de información y la suplantación de identidad (phishing); todos relacionados con ciberincidentes.

De todo lo recogido hasta el momento se puede destacar las siguiente:

  • Sea cuales sean los roles de los intervinientes, las medidas y garantías de protección de datos deben ser implementadas de forma transversal a través de la cooperación de las organizaciones que intervienen.
  • Los Delegados de Protección de Datos deben trabajar estrechamente con los responsables de seguridad. Deben tomar un papel de participación activo para evitar que, cuando se produzca un incidente, no resulte en brecha de seguridad.
  • Las medidas y las acciones específicas deberán implementarse desde el diseño, para minimizar el posible impacto personal y social de una brecha en el caso de producirse. Dentro de estas medidas se pueden destacar las siguientes:
    • Categorización de los datos que, en un momento dado, puedan ser considerados de especial sensibilidad.
    • Estudio de estrategias de minimización de datos accesibles por Internet: anonimización, seudonimización, disminución de la granularidad o precisión de los datos, restricción de campos/atributos, agregación, adición de ruido, etc.
    • Implantación de sistemas de alerta temprana que permitan conocer el ataque lo antes posible y en sus primeras fases a aquellos que tienen las obligaciones de actuar.
    • Establecimiento de canales ágiles, efectivos y probados de comunicación de brechas entre las entidades intervinientes.

Lo que se pretende a través de esta guía de orientaciones por parte de la AEPD es reclamar mayores garantías de privacidad a las Administraciones Públicas ante el riesgo de brechas de datos personales, que como se ha podido constatar, aumentan con respecto de un año a otro. Se pretende abordar la necesidad de gestionar los riesgos derivados del tratamiento de cantidades masivas de datos personales y su intercambio entre Administraciones Públicas, tanto para los derechos y libertades de las personas como para la propia sociedad en su conjunto.