La Autoridad Danesa de Protección de Datos ha tomado una decisión en el sexto y último caso de supervisión relacionado con la seguridad del procesamiento en AULA, que la autoridad de supervisión inició en otoño de 2021 contra seis municipios seleccionados. En la reunión del comité de contacto de la Autoridad de Protección de Datos celebrada en mayo, el trabajo sobre seguridad de procesamiento en AULA sirvió de base para discusiones sobre evaluaciones de riesgos y análisis de impacto.
En diciembre de 2023, la Autoridad Danesa de Protección de Datos tomó una decisión en cinco de los seis casos de supervisión que se iniciaron en otoño de 2021 en relación con el procesamiento de datos personales por parte de los municipios seleccionados en el sistema informático AULA. Las inspecciones se centraron en el cumplimiento de las normas del Reglamento de Protección de Datos en materia de seguridad del tratamiento y análisis de impacto.
El municipio de Copenhague recibe críticas por deficiencias en el análisis de impacto
La Autoridad Danesa de Protección de Datos ha tomado una decisión en el caso de supervisión con el Ayuntamiento de Copenhague, que es el sexto y último de estos casos. La Autoridad Danesa de Protección de Datos ha expresado críticas, ya que la Autoridad Danesa de Protección de Datos ha evaluado que la evaluación de impacto no cumple con todos los requisitos mínimos para una evaluación de impacto. La decisión también contiene algunas recomendaciones para el trabajo futuro del municipio con la actualización prevista de la evaluación de impacto.
En relación con la evaluación de riesgos del municipio, la Autoridad Danesa de Protección de Datos ha recomendado que el Municipio de Copenhague estructure la información en su concepto revisado de evaluación de riesgos de modo que sea posible comparar las evaluaciones de riesgos antes y después de la implementación de las medidas, y que la conexión entre las medidas y los riesgos individuales es claramente evidente. La Autoridad Noruega de Protección de Datos concluyó que el municipio no había demostrado plenamente que se hubieran implementado medidas adecuadas para reducir todos los riesgos que había identificado.
Sin embargo, la Municipalidad de Copenhague ha trabajado seria y decididamente para reducir los riesgos identificados. En particular, el municipio se ha centrado en reducir el riesgo que implica el uso del inicio de sesión UNI, según la evaluación del municipio.
El caso de supervisión con el Ayuntamiento de Copenhague contiene más elementos que los otros cinco casos de supervisión. A raíz de la cobertura de prensa en la primavera de 2023, la Autoridad de Protección de Datos tuvo conocimiento de un informe de supervisión interna del asesor de protección de datos del municipio de Copenhague, que, entre otras cosas, se refería al uso por parte del municipio del módulo «Compartir archivos de forma segura» de AULA. Por lo tanto, la Autoridad Danesa de Protección de Datos examinó el informe de inspección en este caso y pidió al municipio que respondiera algunas preguntas.
En base a esto, la Autoridad Danesa de Protección de Datos recomendó en la decisión que el municipio de Copenhague – posiblemente en diálogo con los otros municipios, KOMBIT y KL – aclare el propósito del procesamiento de datos personales en AULA en el análisis de impacto del municipio. La Autoridad Danesa de Protección de Datos también ha señalado que es relevante especificar para qué tipos de documentos se utiliza el «intercambio seguro de archivos» en AULA y qué tipos de datos personales suelen contener estos tipos de documentos.
Reunión del comité de contacto con las regiones y municipios
En la reunión del comité de contacto de la Autoridad de Protección de Datos con los municipios y regiones en mayo de 2024, el tema fue la experiencia práctica de las autoridades en materia de evaluaciones de riesgos y análisis de impacto. Esto se basó en las inspecciones de AULA, donde la Autoridad Danesa de Protección de Datos acababa de examinar las evaluaciones de riesgos y análisis de impacto de seis municipios.
La Autoridad Danesa de Protección de Datos había invitado al municipio de Esbjerg a la reunión del comité de contacto para compartir su experiencia práctica con evaluaciones de riesgos y análisis de impacto en el procesamiento de datos personales en AULA. El municipio de Esbjerg destacó la importancia de crear una visión general a través de buenos registros, que forman la base para seguir trabajando en materia de protección de datos. El municipio también enfatizó la importancia de que el controlador de datos integre tecnología (las soluciones/sistemas), procesos (estándares/flujos de trabajo para el uso) y personal (el uso diario) para identificar y reducir los riesgos cuando se pone en uso un nuevo sistema.
El municipio de Esbjerg destacó que un requisito previo para el trabajo es conocer los flujos de trabajo de los empleados y su uso práctico de las herramientas informáticas. Este conocimiento facilita la realización de evaluaciones de riesgos para decisiones futuras de compra e implementación de nuevos sistemas y soluciones informáticas en general.
Además, la Autoridad Danesa de Protección de Datos había invitado a KOMBIT a hablar sobre su trabajo futuro y sus consideraciones tras la sesión informativa de la Autoridad Danesa de Protección de Datos sobre las decisiones de las inspecciones de AULA. En su informe, la Autoridad de Protección de Datos había, entre otras cosas, instó a los municipios, y posiblemente en colaboración con KL y KOMBIT, a considerar la preparación de un análisis de impacto conjunto sobre el procesamiento de datos personales por parte de los municipios en AULA. KOMBIT presentó sus consideraciones sobre una posible evaluación de impacto conjunta, y varios municipios hicieron comentarios y sugerencias en la reunión.
KOMBIT también habló sobre su paquete de cumplimiento, que contiene una serie de plantillas diseñadas para ayudar a los municipios con la protección de datos. Trabajan para garantizar que estas plantillas estén disponibles internamente para los empleados relevantes de los municipios.
En la reunión, la Autoridad Danesa de Protección de Datos presentó la plantilla para realizar análisis de impacto de las soluciones de IA, que la Autoridad Danesa de Protección de Datos estaba completando en ese momento. Posteriormente, la plantilla, junto con una plantilla más genérica para el análisis de impacto, se publicó en el sitio web de la Autoridad Danesa de Protección de Datos.