Prestadores de Servicios de Certificación y riesgos para la protección de datos de carácter personal

Prestadores de Servicios de Certificación y riesgos para la protección de datos de carácter personal

La Administración pública (en sentido amplio) recopila una enorme cantidad de información concerniente a los ciudadanos (nombre, apellido, DNI, domicilio, información financiera, situación laboral, etc., etc.). Lógicamente, es necesario que la Administración pública aproveche todas las posibilidades que ofrece la tecnología; sin embargo, debemos tener presente que no todas las opciones son admisibles desde el punto de vista jurídico, en particular, desde la perspectiva de la protección de datos de carácter personal.

En este contexto, son tres los actores principales que entran en juego: por un lado los ciudadanos que son “poseedores” de una credencial electrónica frente a poder público. Por otro, la propia A Administración pública que oferta servicios telemáticos y una empresa pública o privada, el Tercero de Confianza (en su acrónimo en lengua inglesa: “TTP”) que ofrece información de validación de la credencial del ciudadano/usuario frente la Administración pública.

Hemos identificado los siguientes riesgos desde la perspectiva protección de datos:

Las interconexiones que se producen entre bases de datos de diversa índole y que difieren en contenido y finalidades.

El desconocimiento del ciudadano (principal actor de este sistema) por cuanto no conoce la información contenida en los certificados electrónicos que residen en su documento nacional de identidad electrónico (DNI-e), ignorando los flujos de información que se generan cuando inserta su DNI-e en un lector de tarjetas y pasando por alto la existencia de una tercera empresa (el Tercero de Confianza) que almacena información concerniente a los servicios que emplea el ciudadano.

Por lo tanto, desde Áudea consideramos de especial importancia que el Tercero de Confianza desvincule de la identidad del ciudadano toda la información relativa a los certificados electrónicos no vigentes, así como se abstenga de integrar en un sistema de información los datos relativos a los certificados electrónicos y al titular de los mismos, con el fin de impedir que pudiera realizarse un completo perfil del ciudadano en su relación telemática con la Administración pública.

https://audea.com/ – Áudea Seguridad de la Información