1750 - Tratamiento de datos personales por las Administraciones públicas mediante el uso de las nuevas tecnologías

El almacenamiento de datos en la nube por parte de la Administración pública

El Diccionario de la RAE del Español Jurídico define la computación en la nube como un modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de internet, a un conjunto de recursos compartidos y configurables de modo escalable (como redes, servidores, capacidad de almacenamiento, aplicaciones y servicios, etc.) que pueden ser rápidamente asignados y liberados con una mínima gestión por parte del proveedor de Internet.

Las AAPP utilizan la nube tanto como parte de los servicios prestados a los ciudadanos, como también como elemento para su gestión interna.

Teniendo en cuenta que, cuando se producen errores o brechas, la nube no permite un control directo, es una obligación del responsable del tratamiento el asegurarse que selecciona a un proveedor adecuado, y garantizar que el contrato contenga las cláusulas y garantías necesarias que comprometan al proveedor de servicios en el cumplimiento de la norma de protección de datos, así como el resto de normativa que fuera de aplicación a una determinada entidad pública.

CUESTIÓN

¿La información publicitaria y la información disponible a través de la web del proveedor sobre los servicios en la nube, se consideran condiciones contractuales y vinculantes?

No, salvo que se incorporen a la oferta suscrita con el prestador adjudicatario de la licitación. Los contratos de adhesión genéricos a un determinado servicio no pueden entenderse como vinculantes cuando establezcan condiciones al margen de los requisitos generales de contratación para las Administraciones públicas que determina la Ley de Contratos del Sector Público.

La contratación de un servicio en la nube no implica que las obligaciones de gestión de la seguridad del responsable del tratamiento, con relación a los requisitos de protección de datos personales, incluidos los establecidos en el artículo 32 del RGPD, se desplacen al encargado del tratamiento. El responsable conserva también las obligaciones de supervisión y la obligación de implementar alguna de esas medidas.

La Administración también está obligada a solicitar y obtener información sobre la intervención o no de terceras personas, y a ejecutar el control de las mismas. Además, debe especificarse en el contrato que la nube va a albergar datos personales y, en el caso de tratarse de servidores extranjeros, hay que asegurarse de que el tratamiento de los datos personales mantiene unas garantías de protección de los mismos equivalentes.

Hay que destacar que las obligaciones de la Administración pública se mantienen no solo en el momento de la contratación y durante la vigencia del contrato, si no que, una vez finalizada la relación, debe asegurarse de que la información se destruya, se devuelva o se traspase al nuevo encargado de tratamiento según sea el caso.

Con relación a esto, el artículo 28 del RGPD dispone que: «Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado». Esto conlleva que, en caso de una infracción de la normativa de protección de datos, el responsable no pueda escudarse en el desconocimiento sobre lo que hacían sus encargados, ya que es su responsabilidad escoger a un encargado que ofrezca garantías, y de ponerle condiciones en el contrato que garanticen el cumplimiento de la normativa.

Si se produjese una brecha de seguridad que afecte a datos personales almacenados en la nube, el responsable del tratamiento debe de hacer frente a la misma de la manera que considere menos arriesgada para los datos y el servicio en general. Además, tiene un plazo de 72 horas para notificar a la autoridad de protección de datos la información que tiene de la quiebra. En determinadas situaciones, la autoridad de control puede ordenar al responsable que comunique a los usuarios afectados por la brecha de seguridad que se ha producido la misma.

También le corresponde al responsable del tratamiento gestionar los riesgos que se puedan dar si el proveedor de la nube decide finalizar el servicio o cambiar las condiciones, así como adaptarse a cambios normativos (especialmente relevante en el caso de proveedores extranjeros), por lo que ha de desarrollar las medidas, planes de contingencia y estrategias de migración necesarios.

El tratamiento masivo de datos por parte de la Administración

Cuando hablamos de tratamiento masivo de datos, «big data» o «macrodatos», nos referimos, tal y como recoge el Diccionario del Español Jurídico de la RAE, a un «conjunto de técnicas que permiten analizar, procesar y gestionar conjuntos de datos extremadamente grandes que pueden ser analizados informáticamente para revelar patrones, tendencias y asociaciones, especialmente en relación con la conducta humana y las interacciones de los usuarios». Este tratamiento masivo de datos requiere cumplir con distintos aspectos de la normativa de protección de datos.

Las AAPP en virtud del principio de transparencia, liberan muchos datos que tienen almacenados con el fin de facilitar información a los ciudadanos (por ejemplo, población, transporte, educación...). Además, la Administración está desarrollando sistemas que le permitan realizar ese análisis masivo de datos para poder utilizar dicha información, lo que conlleva que sea preciso analizarlo desde el punto de vista de la protección de datos.

Al igual que en todos los tratamientos deben cumplirse los principios de licitud, lealtad y limitación del tratamiento. Es importante tener en cuenta que para poder reutilizar los datos (tal y como ocurre cuando se tratan de forma masiva), hay que analizar que las finalidades secundarias no sean incompatibles con las iniciales en los términos que se regulan en el considerando 50 y en el artículo 6.4 del RGPD. 

CUESTIÓN

¿Qué debe de tener en cuenta el responsable del tratamiento a la hora de analizar la compatibilidad del tratamiento para el que se requirieron los datos con otro fin secundario?

El RGPD, en su artículo 6.4, dispone que el responsable del tratamiento en estos casos deberá tener en cuenta, entre otras cosas:

a) Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto.

b) El contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento.

c) La naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10, ambos del mismo cuerpo legal.

d) Las posibles consecuencias para los interesados del tratamiento ulterior previsto.

e) La existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Hay que tener en consideración que el interés legítimo como base legitimadora tiene limitaciones en estos supuestos. El RGPD exige una evaluación de riesgo más sistemática cuando nos encontramos ante un supuesto de tratamiento masivo de datos personales, requiriendo que se lleve a cabo una evaluación de impacto relativa a la protección de datos y, en función del resultado obtenido, una consulta previa a la autoridad de control.

Antes de realizar la evaluación de impacto, para intentar minimizar los riesgos que el tratamiento de datos supone en estos casos, la Administración debe analizar y adoptar las garantías correspondientes:

• Fase de adquisición de datos. Para minimizar los datos tratados debe realizarse una selección previa de los mismos, minimizando el grado de detalle con el que se tratan, llevando a cabo una anonimización de los mismos, y cifrando la información.
• Fase de análisis y validación. En esta fase también se debe de intentar minimizar el detalle de los datos mediante la anonimización y cifrado de los datos.
• Fase de disociación, anonimización o seudonimización de la información. Dado que esta fase es un tratamiento en sí mismo, debe cumplir las garantías previstas en la normativa de protección de datos. Es importante tener en cuenta que es recomendable que esta fase se lleve a cabo por personas distintas de las que van a explotar la información, y si estamos ante datos de salud esta recomendación se convierte en obligación.
• Fase de almacenamiento. Debe llevarse a cabo un cifrado de datos, así como fijarse mecanismos de autenticación y control de acceso para garantizar la confidencialidad de los datos. También deben de llevarse a cabo estrategias de distribución de datos que dificulten la vinculación entre datos con el fin de evitar posibles inferencias.
• Fase de explotación. Cuando llegados a esta fase aún se permita la identificación de los interesados deberá garantizarse su anonimización mediante diferentes técnicas y, en su caso, garantías jurídicas dirigidas a evitar la reidentificación.

Es importante destacar los riesgos que conlleva la reidentificación, ya que al cruzar varias fuentes de datos se descubrirán datos que por separado no se hubiesen conocido, e incluso es posible que datos que eran supuestamente anónimos revelen la identidad de personas concretas.  Es por ello que deben de tomarse las medidas necesarias para minimizar este riesgo, con garantías incluso superiores cuando estemos ante datos de categorías especiales, o datos de menores o personas de especial vulnerabilidad.

Precisamente por estos riesgos es importante que se analicen todos ellos —los riesgos— a la hora de hacer un uso interno de datos por parte de las propias AAPP, pero más importante es cuando la Administración ceda datos anonimizados a terceros. Cuando el riesgo de reidentificación sea alto, el tratamiento de los datos quedaría sujeto a la normativa de protección de datos, y necesitaría estar legitimado.

Para finalizar, hay que tener en cuenta que el sistema debe estar diseñado desde un principio considerando la protección de datos como un requisito desde el diseño y por defecto, cumpliendo con lo regulado en el artículo 25 del RGPD que dispone que «el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados».

El uso de la inteligencia artificial en la Administración pública y sus implicaciones en la protección de datos

Se entiende por «inteligencia artificial» la disciplina científica que se ocupa de crear programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, como el aprendizaje o el razonamiento lógico (RAE).

Los sistemas de inteligencia artificial pueden utilizar enormes cantidades de datos, y cuando estamos hablando de datos de carácter personal, es imprescindible que exista una legitimidad para su tratamiento, así como que respeten la licitud y los principios de tratamiento recogidos en el RGPD, artículos 6 y 5 respectivamente.

Es importante mencionar el artículo 22 del RGPD que establece que: «Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar». El RGPD establece tres excepciones a esta norma:

• Cuando sea necesaria para la celebración o ejecución de un contrato entre el interesado y un responsable del tratamiento.
• Cuando esté autorizada por el derecho de la Unión o de los estados miembros, y se establezcan medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
• Cuando se base en el consentimiento explícito del interesado.

Por su parte, el artículo 13.2. f) del RGPD señala que cuando existan decisiones automatizadas, incluida la elaboración de perfiles, deberá facilitarse al interesado, entre otras cosas, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Nuevamente hay que recordar también en este apartado que algunas bases jurídicas, como es el caso del interés legítimo, están vedadas para las AAPP. Ello no impide que la Administración pueda emplear un sistema de inteligencia artificial desarrollado por un tercero que haya utilizado como base jurídica el interés legítimo, pero no podría utilizar esta base jurídica para tratamientos posteriores.

A la hora de analizar los riesgos que presenta la inteligencia artificial, hay que considerar el tipo de desarrollo que se utilice, ya que por ejemplo si se emplea un tratamiento masivo de datos para desarrollar el sistema, habría que tener en cuenta lo expuesto en el apartado anterior sobre el tratamiento de datos cuando exista tratamiento masivo, o se puede estar ante un sistema de inteligencia artificial usado por una Administración pública, pero que se encuentre en un  servidor en el extranjero, lo que conllevaría aplicar lo visto para el tratamiento de datos personales que se encuentren en la nube.

También habría que evaluar la necesidad de realizar auditorías para detectar vulnerabilidades del sistema de inteligencia artificial, teniendo en cuenta que no bastaría con un análisis de los requisitos y unas pruebas previas, si no que debería realizarse una auditoría de forma continua que compruebe que los resultados obtenidos son adecuados y evolucionan conforme a los cambios sociales.

El tratamiento de datos en las Smartcities o ciudades inteligentes

Una ciudad inteligente o Smart City es aquella que utiliza el potencial de la tecnología de la información y de la comunicación (TIC), así como la innovación, para promover un desarrollo sostenible de manera más eficiente y, por tanto, mejorar la calidad de vida de sus ciudadanos.

En estos sistemas se maneja gran cantidad de información, en tiempo real, mediante sensores o fuentes de datos de determinados servicios. Aunque no todos los datos procesados en una ciudad inteligente son personales, hay que tener en cuenta que, atendiendo al principio de minimización, no está justificada una recogida masiva de datos, sino que los datos deben de ser adecuados, pertinentes y limitados a lo estrictamente necesario para los fines para los que son tratados. Debemos señalar que para muchos tratamientos vinculados a la Smart City no sería necesario identificar a los ciudadanos, sino que bastaría con datos anónimos y agregados. Por lo cual, serán las AAPP las que analizarán si se requiere identificar a los ciudadanos o si es suficiente para los objetivos un tratamiento de datos de forma anónima, y para ello tendrán en cuenta el principio de minimización y la necesidad y proporcionalidad del tratamiento.

En este sentido, la Guía de la AEPD de protección de datos en la Administración Local recoge que hay que tener en cuenta la seudonimización, lo que significa tratar los datos personales de forma que ya no puedan atribuirse a un interesado sin utilizar información adicional.

CUESTIÓN

¿Cuál es la diferencia entre los datos anonimizados y los datos seudonimizados?

Los datos seudonimizados permiten acceder a los datos originales utilizando un identificador específico, es decir, estaríamos ante un proceso reversible, mientras que los datos anonimizados no, ya que los mismos han sido alterados de forma irreversible para no ser identificables.

Es importante también que las AAPP respeten el principio de lealtad del tratamiento, esto es, que los datos recogidos se empleen para la finalidad para la que han sido recogidos en un inicio, y que cuando se diseñe un sistema «Smart City» se tenga en cuenta la privacidad desde el diseño, evitando el tratamiento de información relacionada directa o indirectamente con categorías especiales de datos personales. 

La AEPD también nos dice en su Guía sobre tecnologías y protección de datos en las AAPP que, siempre que se recogen datos de personas, es necesario informarlas del marco del servicio en el que se recogen, de qué datos y para qué se recogen y de cómo pueden ejercer sus derechos sobre los mismos, aunque después se anonimicen, fijando la página web de la Administración como un buen lugar para publicar esta información.

En estos casos es importante tener en cuenta los posibles fallos de seguridad, realizando planes preventivos de auditoria continua, análisis de la evolución de los riesgos y estableciendo medidas que minimicen el impacto de una posible brecha de seguridad.