Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

Tecnicas para el control del tratamiento masivo de datos personales en el sector publico sanitario 183 Esta cada vez mayor protección jurídica de los datos relativos a la salud de las personas choca con una asistencia sanitaria cada vez más conectada a distintos dispositivos tecnológicos. Esto supone la introducción de problemas relacionados con la seguridad cibernética. Estos problemas van desde malware que compromete la integridad de los sistemas y la privacidad de los pacientes hasta ataques de denegación de servicio distribuido (DDoS) que interrumpen la capacidad de las instalaciones para brindar atención al paciente. Los ataques cibernéticos pueden, además de consecuencias financieras una violación de la privacidad datos, constitucionalmente protegidos, relativos a la salud de los pacientes. En este sentido, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) señala que la seudonimización se está convirtiendo cada vez más en una técnica de seguridad clave para proporcionar un medio que puede facilitar el procesamiento de datos personales, al tiempo que ofrece garantías sólidas para la protección de datos personales de salud y, por lo tanto, protege los derechos y libertades de las personas en relación a la Administración Sanitaria. II. El tratamiento masivo de datos personales en el Sector Público La LOPDGDD y el RGPD contemplan la posibilidad de que la introducción de tecnologías inadecuadas, en las actividades de tratamiento sean un factor que incremente el riesgo para los derechos y libertades de los interesados. Este riesgo debe ser evaluado por las AAPP 1 . La evaluación, gestión y minimización del riesgo para los derechos y libertades es una obligación del responsable del tratamiento (artículos 23.2.g, 24.1, 25, 32, 33, 34, 35 y 36 entre otros); no obstante, la norma no determina cómo realizar la gestión del riesgo de cada tratamiento de forma específica. Cualquier tratamiento en el seno de las AA.PP . conlleva una serie de riesgos que se han de gestionar como en cualquier otro proceso que se desarrolle dentro de una organización. Pero los riesgos no se analizan por separado, sino que se han de analizar de forma integral para alcanzar una decisión en el marco de un planteamiento global que tome en consideración todo el contexto del tratamiento 2 . En concreto, ese análisis integral es fundamental en la gestión de los riesgos para los derechos y libertades de las personas. Pero a diferencia de otros sectores, en el sector sanitario y de la salud, la evaluación requiere un plus. Es decir, que la evaluación no está solo en relación con el riesgo de cumplimiento de los principios de tratamiento, derechos y obligaciones establecidos en el RGPD, sino que incluso cumpliendo formalmente con lo establecido en la normativa de protección de datos, el contexto y el alcance en el que se realiza el tratamiento pueda introducir cierto grado de incertidumbre sobre su necesidad y proporcionalidad, así como de la eficacia y efectividad de las garantías jurídicas y técnicas informáticas aplicadas. Hay que tener en cuenta que el tratamiento de datos personales en la Administración Pública, en general, y en la Sanitaria, en particular, implican riesgos distintos frente a los riesgos de un tratamiento que pueda realizar cualquier otro sector y que se derivan, al menos, de su especial protección jurídica. En consecuencia, las AA.PP ., en tanto que son responsables del tratamiento de los datos de los ciudadanos, antes de poner en marcha nuevas actividades de tratamiento o modificar servicios ya prestados que hagan uso de nuevas tecnologías, deberán identificar aquellos riesgos a los que pueda estar expuesto el tratamiento. También deberán adoptar las medidas técnicas y organizativas necesarias que permitan eliminar, los daños que, para los derechos y libertades de las personas, pudieran derivarse del tratamiento. Ha de tenerse en cuenta que los ciudadanos que se podrían encontrar en una situación de riesgo no son solo los administrados, sino también los propios empleados públicos en el ejercicio de sus funciones. Una de las tecnologías más extensamente utilizadas o que tienen más potencial de implantación en la actualidad en las AAPP es el tratamiento masivo de datos (BIG DATA). Nos referimos a grandes conjuntos de datos, caracterizados por su volumen, variedad, velocidad y/o variabilidad, que requieren de una tecnología escalable para un almacenamiento, manipulación, gestión y análisis eficiente 3 . Las tecnologías de tratamiento masivo se han desarrollado de forma espectacular en los últimos años abriendo un amplio abanico de tratamientos. Internet ha puesto a disposición de toda una gran cantidad de datos que pueden ser utilizados. Las propias AA.PP . promocionan la apertura y reutilización de la información pública y el desarrollo de servicios avanzados basados en datos 4 . 1. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 2. Norma ISO 31000:2018: Marco de trabajo para la gestión del riesgo. 3. ISO/IEC 20546:2019 Tecnología de la información – Big Data – Resumen y vocabulario. 4. La Iniciativa Aporta se desarrolla en el contexto del marco legislativo vigente y se articula la plataforma datos.gob.es como punto de encuentro entre las Administraciones, las empresas y los ciudadanos que forman parte del ecosistema de los datos abiertos en España.