El objetivo de este documento es orientar a los responsables implicados en tratamientos que incluyen el intercambio de datos entre las Administraciones Públicas. Está dirigido específicamente a aquellos tratamientos que, por el alto volumen de datos personales que son tratados, y por la interconexión permanente entre sistemas de las Administraciones Públicas, pueden producirse brechas masivas de datos personales de alto riesgo para los derechos fundamentales. Para ello, ofrece orientaciones sobre cómo abordar la gestión de los riesgos para los derechos y libertades de las personas físicas que se podrían derivar de los posibles escenarios de brechas masivas.

Estas orientaciones abordan la necesidad de gestionar tanto los riesgos para los derechos y libertades de los individuos como el riesgo para la propia sociedad o para un grupo representativo de ésta, derivado del compromiso de masivas cantidades de datos personales. Los responsables han de asumir que las brechas pueden producirse y que las medidas de seguridad no garantizan la protección total. Por lo tanto, los responsables han de implementar, desde el diseño de las operaciones de intercambio de datos, medidas específicas para minimizar el posible impacto personal y social de una brecha.

Una correcta gestión implica establecer, previamente a la materialización de una brecha que afecte a los derechos fundamentales, las medidas y acciones que se deben adoptar en el caso de que dicha brecha llegue a producirse. 

Una gestión eficaz de los riesgos implica la actuación coordinada de los distintos implicados en el tratamiento, un estudio conjunto de los distintos escenarios de brechas masivas en caso de fallo de las medidas de seguridad, y la adopción, coherente y en el ámbito de las distintas responsabilidades, de los procedimientos, técnicas de protección de datos y medidas de seguridad específicas y adecuadas para minimizar su impacto sobre los derechos fundamentales.

Este documento está dirigido a responsables del tratamiento en el Sector Público y a sus delegados de protección de datos. Como material de ayuda, incluye una lista, no exhaustiva, de posibles medidas preventivas, de detección, de respuesta, de revisión y supervisión que se podrían implementar en el marco de este tipo de tratamientos.  

Descarga el documento

Fuente: AEPD