Cifrado y protección de datos


El viernes, la AEPD publicaba en su blog una entrada titulada Cifrado y Privacidad: cifrado en el RGPD, que trataba el tema que ya había sido objeto de su guía Introducciónal hash como técnica de seudonimización de datos personales.

Los lectores habituales de este blog saben que siempre hemos defendido la necesidad de que la utilización de las nuevas tecnologías o tecnologías disruptivas sea respetuosa con el derecho fundamental a la privacidad de las personas físicas. Ya hemos mencionado en anteriores entradas que, según nuestro humilde punto de vista, son las nuevas técnicas disruptivas las que deben adaptarse a un ordenamiento jurídico, pero que el ordenamiento jurídico debe estar listo para recibir nuevas tecnologías y utilidades en los procesos que regulan, es decir, gozar de la necesaria neutralidad tecnológica. Así, entendemos que de poco vale discutir las distintas aplicaciones de una tecnología en nuestro ámbito jurídico si no somos capaces de articular soluciones que garanticen el respeto de las mismas a los derechos de los ciudadanos.

A veces, sin embargo, en una muestra de espiral lógica imperfecta, se busca que una tecnología facilite soluciones a la protección de un derecho que había planteado el uso de la misma tecnología para otras funcionalidades comprendidas en el ordenamiento jurídico. Esto es, por ejemplo, la criptografía asegurando la anonimidad de los datos personales, que se había puesto en cuestión con anterioridad con relación al derecho a la protección de datos en tecnologías como blockchain.

Nos centramos hoy, entonces, en hacer una breve reseña y reflexión sobre la utilidad del cifrado o de la función hash para la protección de datos de carácter personal de las personas físicas.


Lo primero que debemos tener en cuenta es que el RGPD, en lo que se refiere a las medidas que el responsable debe acometer en los tratamientos de datos personales, establece un principio de proporcionalidad, no solo del tratamiento en sí, sino de las precauciones que, en cumplimiento del principio de responsabilidad proactiva, debe desarrollar el responsable. Así, lo primero que debemos plantearnos en cuanto a la necesidad de implementar técnicas de cifrado que impliquen la anonimización o seudonimización de los datos personales es si realmente es necesario proceder a dichas técnicas y, en su caso, qué tipo de tratamientos serían los más indicados para ser objeto de la aplicación de dicha técnica.

En la mencionada Guía de la AEPD se habla como factor determinante del “tiempo de vida” del mensaje cifrado para ponderar la proporcionalidad del cifrado. Lo cierto que es que, a nuestro parecer son distintas circunstancias las que deben ser tenidas en cuenta a la hora de adoptar el cifrado o la función hash como técnica de anonimización de los datos. En primer lugar la categoría de los datos personales que se traten: Desde luego, cuando hablamos de datos de categoría especial, deben aplicarse las técnicas de anonimización más potentes que estén al alcance del responsable ya que los perjuicios que un inadecuado tratamiento o unabrecha en la seguridad pueden causar al interesado son de enorme entidad y, por otra parte, la utilización de dichos datos por el mismo responsable para una finalidad distinta a las consentidas por el interesado o por la ley conllevan una mayor carga consecuencial. De la misma manera que a la hora de recoger datos el responsable debe tener en cuenta el principio de proporcionalidad (no recoger datos biométricos para la entrada en la piscina de un club social o no recoger datos sobre la orientación sexual de un candidato para una entrevista de trabajo) debe tenerse en cuenta la misma proporcionalidad a la hora de exigir al responsable que se acometan ciertas acciones dirigidas a seudonimizar los datos. Así, el primer análisis que debe hacer el responsable del tratamiento es cuál es la categoría de los datos tratados, cuál es la vida media del tratamiento y ponderar la necesidad de aplicar una medida de anonimización u otra. El segundo aspecto que debe tenerse en cuenta es el volumen de los datos manejados, aplicar funciones hash puede resultar conveniente cuando se tiene un volumen amplio de datos tratados mientras que en el supuesto de que los datos sean de menor entidad, puede resultar más favorable acometer otras técnicas de anonimización de los datos más acordes con el funcionamiento interno del responsable, que sería la siguiente circunstancia a ponderar. Respecto a este punto, debe tenerse en cuenta que una anonimización de los datos puede ser útil en algunos sectores como la investigación o el diagnóstico, en el que los datos identificativos de una persona pueden no ser necesarios para el desarrollo del estudio mientras que en una labor más orientada a la gestión, la utilización de los datos de carácter personal es más necesaria y la anonimización puede dificultar las tareas. Una entidad con los registros centralizados y los recursos aplicados de forma homogénea tiene distintas posibilidades de aplicación que una entidad en la que la información esta departamentalizada y los tratamientos de los datos se independizan o se tratan distintas categorías de datos; del mismo modo, la anonimización a través de la criptografía, en entidades descentralizadas y con procesos paralelos puede dificultar las sinergias. Por último, es importante ponderar los riesgos de fuga de datos, mayores en unos tratamientos que en otros, o los costes que estén dispuestos a asumir quienes deseen conocer ilegítimamente los datos consignados por el responsable, es decir, el esfuerzo de desencriptación o de reversión del cifrado que una persona pueda estar dispuesta a hacer para conocer los datos. En los supuestos en los que dichos datos, en el caso de ser desvelados puedan conllevar un perjuicio patrimonial o social al interesado y, además, una ventaja económica al violador de la seguridad, las precauciones deben extremarse, en caso contrario, debe hacerse un análisis de riesgo en el que la voluntad de terceros para conocer los datos se pondere a la baja y las precauciones puedan ser menos complejas, siempre hablando de datos de categoría no especial que, como hemos dicho, deben ser siempre protegidos con la mayor diligencia.

Todas estas decisiones deben tomarse en el seno del principio de accountability al que hemos hecho ya mención en otras entradas y que sirve de guía a la aplicación del RGPD y de la nueva LOPDgdd y que obliga al responsable a acometer con diligencia la toma de medidas de seguridad y protección de los datos basándose en un honesto análisis del riego en los tratamientos que lleva a cabo.

En lo que se refiere a la anonimización de datos por medio de hashes en la reseñada guía se ofrecen muchas soluciones y de muy distinta complejidad, pero es importante también tener en cuenta la forma del tratamiento de los datos personales. Y una cuestión que, aunque en este momento actual nos queda un poco lejana, no podemos perder de vista. Nos referimos a la reciente noticia según la cual Google, según publica la revista Nature habría logrado la supremacía cuántica, logrando así el avance más importante en la historia de la computación. ¿Qué consecuencias puede tener esto? Pues que si nos estamos preocupando del cifrado de datos a través de hashes y sobre las posibilidades de recuperación de los datos cifrados a través de computación inversa, planos de arcoíris y diccionarios de cifrados, todo pasará a ser secundario (e innecesario para quien tuviese interés en revertir el cifrado de los datos y conocer su contenido original) si tiene acceso a computadoras capaces de formular cálculos cuánticos, pues dicha computación podrá revertir los procesos de cifrado no cuántico de una manera sencilla, disminuyendo los costes de robo de datos y, por tanto, haciendo rentable la reversión del cifrado de cualquier tipo de datos, conllevando esto un mayor riego para los responsables de tratamiento y, en consecuencia, de los interesados titulares de los datos.

Para tranquilidad del lector, debemos decir que los propios creadores de la computadora de Google son moderadamente escépticos sobre una utilidad práctica cercana de la computación cuántica en el estado “rudimentario” en el que se encuentra el proyecto en la actualidad. Si bien no niegan la futura utilidad en campos prácticos del descubrimiento en ciernes, lo cierto es que en la actualidad se trata más de un ejercicio científico que puramente tecnológico. Como se recogió en la revista Nature “el hallazgo es comparable a los primeros vuelos de los hermanos Wright”.

De acuerdo con todo lo anterior, la reflexión que debe hacerse se basa en la conveniencia de utilizar los nuevos instrumentos que nos ofrecen los avances tecnológicos para adquirir nuevas herramientas para combatir los problemas que los mismo avances plantean en los ordenamientos jurídicos a través de tensiones con los derechos reconocidos o el contenido de las normativas configuradoras de los mismos. Frente a los desafíos que plantean las tecnologías disruptivas, los juristas debemos estar preparados para crear soluciones jurídicas basadas en las tecnologías que plantean los nuevos escenarios

Volvemos al inicio de esta entrada: la realidad y los avances tecnológicos imponen nuevos desafíos al legislador, obligado no solo a proteger los derechos de los ciudadanos, sino también a articular instrumentos para ello.


No hay comentarios:

Publicar un comentario