18 Ago Tratamiento de datos en administraciones públicas. Especial referencia a las páginas web
Autor: Mª Victoria de Frutos Baticón, consultora y auditora en seguridad de la información
La tecnología está cambiando la forma de trabajar de las Administraciones Públicas y su relación con los ciudadanos buscando mejorar tiempos, facilitando la accesibilidad, simplificando trámites y ahorrando costes.
En consecuencia, las Administraciones Públicas, son responsables del tratamiento de los datos de los ciudadanos; antes de poner en marcha nuevas actividades de tratamiento o modificar servicios ya prestados que hagan uso de nuevas tecnologías, deberán identificar aquellos riesgos a los que pueda estar expuesto el tratamiento. También deberán adoptar las medidas técnicas, organizativas necesarias que, desde el diseño y por defecto, permitan eliminar o al menos mitigar a un nivel aceptable, los daños que, para los derechos y libertades de las personas, pudieran derivarse del tratamiento.
En general, la LSSI no se aplica a las Administraciones Públicas, puesto que éstas no tienen el carácter de prestador de servicios de la sociedad de la información definido en su anexo. De esta forma, determinadas actividades típicas de las Administraciones, como la gestión electrónica de la recaudación de tributos o la información sobre los servicios de un tercero se consideran como actividades públicas o de interés general distintas a la «actividad económica» a la que se refiere la LSSI.
Sin embargo, cuando la actividad de una Administración sí tenga un carácter económico (por ejemplo, la venta de libros turísticos por una entidad pública dependiente de un Ayuntamiento), le será aplicable la LSSI.
Además, uno de los tratamientos que se pueden realizar mediante la página web de las administraciones, es la recogida de datos e información a través de las cookies: seguimiento de la actividad de los usuarios en la red.
Cada vez que accedemos a una página, una imagen o un contenido, estamos comunicando, al menos, nuestra dirección IP, con lo que se puede saber nuestra ubicación geográfica, pero también el modelo de navegador que usamos y, en consecuencia, también nuestro sistema operativo, el dispositivo con el que nos conectamos.
Uno de los principales riesgos del uso de cookies, u otras tecnologías de seguimiento, es la recopilación de información personal más allá de lo necesario para el propósito del tratamiento; por ello, es necesario evaluar la información y tomar las medidas adecuadas para minimizar dicho riesgo.
Un elemento para gestionar dicho riesgo, aunque no el único, es realizar auditorías periódicas de los componentes, el tipo de datos tratados, el destino del tráfico generado por las aplicaciones, el grado de vinculación de dicha información con las operaciones del usuario en las Administraciones Públicas.
Igualmente, cuando una Administración Pública decide ofrecer información o servicios a los ciudadanos a través de una red social, deberá cumplir con todas las obligaciones establecidas en el RGPD, entre ellas el deber de informar.
Por último, hay que indicar que el contenido de terceros, insertado como anuncios o de otra forma, puede llevar a engaño a los usuarios y hacer creer a estos que son enlaces que pertenecen a servicios de la Administración Pública que recaban datos personales, por lo que dichos contenidos han de estar bajo supervisión.
Fuentes: https://www.aepd.es/es/documento/guia-tecnologias-admin-digital.pdf