Siempre hablamos de la necesidad de que las empresas cumplan con la normativa de protección de datos, ya sea RGPD y/o LOPD-GDD. Pero, ¿qué ocurre con los organismos públicos? Tienen la misma obligación que los entes privados de adoptar las medidas de seguridad adecuadas e implementarlas para garantizas la seguridad e integridad de los datos de carácter personal que dispongan. Las dudas surgen sobre varias cuestiones: si se aplican o no, si disponen de medios y recursos suficientes, sobre la forma en que tratan toda la información y las subcontrataciones. Así ha sucedido recientemente con el Gobierno de los Estados Unidos de América, en concreto la oficina de Aduanas y Fronteras que ha sufrido el robo de datos biométricos: huellas, fotografías, números de matrícula, etc.

Cumplimiento, o no, por parte de la Administración Pública

Nadie pensaría que los organismos públicos infringen la normativa de protección de datos o no implementan medidas de seguridad adecuadas al tratamiento, pero sucede y con mayor frecuencia de la que pensamos. A veces por presupuesto y otras por “prioridades”. No podemos comparar los recursos de una gran empresa con el de la Administración, pero tampoco el de esta con una PYME y a la pequeña y mediana empresa se obliga y exige el cumplimiento por encima de todas las cosas, con graves consecuencias económicas. Sin embargo, la Administración dispone de información de carácter sensible en, prácticamente, todos los casos. Ahora bien, es cierto que no sufren tantos ataques como las empresas privadas, quizás  porque no las van a sobornar, con el objeto de obtener una remuneración a cambio de devolver los datos.

Para el mismo caso, realidad distinta

La cuestión radica en la forma del tratamiento. Ambos entes, públicos y privados, tienen la obligación de cumplir con la Ley, pero mientras en el segundo caso podemos decidir si facilitamos nuestros datos o no a una empresa, en el primero no. Cualquier relación con la Administración supone la necesidad de facilitar nuestra información personal, ya sea para un mero trámite administrativo o para realizar una gestión de algún impuesto, autorización, etc.

A todo ello, hay que tener en cuenta que la administración subcontrata multitud de empresas a las que cede nuestra información y estas últimas si suelen ser objetivos de black hackers o black-hat. Esto es lo que ha ocurrido con la empresa que gestionaba la entrada y salida por puestos fronterizos en Estados Unidos, subcontratada y víctima del robo de datos, generalmente, biométricos. Aunque la legislación americana es distinta a la que tenemos en Europa, somos igualmente objetivos de los hackers.

Respecto a los funcionarios de nuestro país, si bien a la hora de tomar posesión de su cargo prometen cumplir la Ley y el ordenamiento jurídico, entre otras promesas y juramentos), se entiende que también lo hacen respecto del RGPD y LOPD-GDD, ahora bien, ¿conocen realmente sus obligaciones, como deben de actuar y el largo etcétera?

Verificación de las medidas de los encargados del tratamiento

Aplicado a nuestro caso, ¿nos hemos planteado si la Administración Pública cumple con este requisito? ¿Se asegura de que el encargado tenga implementadas las medidas de seguridad exigidas?

Desde luego no  lo planteamos respecto a la contratación de empresas grandes para la realización, por ejemplo, de una obra. Pero, ¿qué ocurre con las Administración local de nuestro país que contrata a un autónomo para realizar un arreglo o para la gestión de un servicio municipal? Las dudas en este caso aumentan y, muy a nuestro pesar, probablemente no se cumplan. Aunque se tenga implementada la adaptación a la normativa (obligatorio para los Ayuntamientos), el hecho de que se haga uso de ella es una historia muy diferente.