El
viernes, la AEPD publicaba en su blog una entrada titulada Cifrado y Privacidad: cifrado en el RGPD, que trataba el tema que
ya había sido objeto de su guía Introducciónal hash como técnica de seudonimización de datos personales.
Los
lectores habituales de este blog saben que siempre hemos defendido la necesidad
de que la utilización de las nuevas tecnologías o tecnologías disruptivas sea
respetuosa con el derecho fundamental a la privacidad de las personas físicas.
Ya hemos mencionado en anteriores entradas que, según nuestro humilde punto de
vista, son las nuevas técnicas disruptivas las que deben adaptarse a un
ordenamiento jurídico, pero que el ordenamiento jurídico debe estar listo para
recibir nuevas tecnologías y utilidades en los procesos que regulan, es decir, gozar
de la necesaria neutralidad tecnológica. Así, entendemos que de poco vale
discutir las distintas aplicaciones de una tecnología en nuestro ámbito
jurídico si no somos capaces de articular soluciones que garanticen el respeto
de las mismas a los derechos de los ciudadanos.
A
veces, sin embargo, en una muestra de espiral lógica imperfecta, se busca que
una tecnología facilite soluciones a la protección de un derecho que había
planteado el uso de la misma tecnología para otras funcionalidades comprendidas
en el ordenamiento jurídico. Esto es, por ejemplo, la criptografía asegurando
la anonimidad de los datos personales, que se había puesto en cuestión con
anterioridad con relación al derecho a la protección de datos en tecnologías
como blockchain.
Nos
centramos hoy, entonces, en hacer una breve reseña y reflexión sobre la
utilidad del cifrado o de la función hash
para la protección de datos de carácter personal de las personas físicas.
Lo
primero que debemos tener en cuenta es que el RGPD, en lo que se refiere a las
medidas que el responsable debe acometer en los tratamientos de datos
personales, establece un principio de proporcionalidad, no solo del tratamiento
en sí, sino de las precauciones que, en cumplimiento del principio de
responsabilidad proactiva, debe desarrollar el responsable. Así, lo primero que
debemos plantearnos en cuanto a la necesidad de implementar técnicas de cifrado
que impliquen la anonimización o seudonimización de los datos personales es si
realmente es necesario proceder a dichas técnicas y, en su caso, qué tipo de
tratamientos serían los más indicados para ser objeto de la aplicación de dicha
técnica.
En
la mencionada Guía de la AEPD se habla como factor determinante del “tiempo de
vida” del mensaje cifrado para ponderar la proporcionalidad del cifrado. Lo
cierto que es que, a nuestro parecer son distintas circunstancias las que deben
ser tenidas en cuenta a la hora de adoptar el cifrado o la función hash como técnica de anonimización de
los datos. En primer lugar la categoría de los datos personales que se traten:
Desde luego, cuando hablamos de datos de categoría especial, deben aplicarse
las técnicas de anonimización más potentes que estén al alcance del responsable
ya que los perjuicios que un inadecuado tratamiento o unabrecha en la seguridad
pueden causar al interesado son de enorme entidad y, por otra parte, la
utilización de dichos datos por el mismo responsable para una finalidad
distinta a las consentidas por el interesado o por la ley conllevan una mayor
carga consecuencial. De la misma manera que a la hora de recoger datos el
responsable debe tener en cuenta el principio de proporcionalidad (no recoger
datos biométricos para la entrada en la piscina de un club social o no recoger
datos sobre la orientación sexual de un candidato para una entrevista de
trabajo) debe tenerse en cuenta la misma proporcionalidad a la hora de exigir
al responsable que se acometan ciertas acciones dirigidas a seudonimizar los
datos. Así, el primer análisis que debe hacer el responsable del tratamiento es
cuál es la categoría de los datos tratados, cuál es la vida media del
tratamiento y ponderar la necesidad de aplicar una medida de anonimización u
otra. El segundo aspecto que debe tenerse en cuenta es el volumen de los datos
manejados, aplicar funciones hash
puede resultar conveniente cuando se tiene un volumen amplio de datos tratados
mientras que en el supuesto de que los datos sean de menor entidad, puede
resultar más favorable acometer otras técnicas de anonimización de los datos
más acordes con el funcionamiento interno del responsable, que sería la
siguiente circunstancia a ponderar. Respecto a este punto, debe tenerse en
cuenta que una anonimización de los datos puede ser útil en algunos sectores
como la investigación o el diagnóstico, en el que los datos identificativos de
una persona pueden no ser necesarios para el desarrollo del estudio mientras
que en una labor más orientada a la gestión, la utilización de los datos de
carácter personal es más necesaria y la anonimización puede dificultar las
tareas. Una entidad con los registros centralizados y los recursos aplicados de
forma homogénea tiene distintas posibilidades de aplicación que una entidad en
la que la información esta departamentalizada y los tratamientos de los datos se
independizan o se tratan distintas categorías de datos; del mismo modo, la
anonimización a través de la criptografía, en entidades descentralizadas y con
procesos paralelos puede dificultar las sinergias. Por último, es importante
ponderar los riesgos de fuga de datos, mayores en unos tratamientos que en
otros, o los costes que estén dispuestos a asumir quienes deseen conocer
ilegítimamente los datos consignados por el responsable, es decir, el esfuerzo
de desencriptación o de reversión del cifrado que una persona pueda estar
dispuesta a hacer para conocer los datos. En los supuestos en los que dichos
datos, en el caso de ser desvelados puedan conllevar un perjuicio patrimonial o
social al interesado y, además, una ventaja económica al violador de la
seguridad, las precauciones deben extremarse, en caso contrario, debe hacerse
un análisis de riesgo en el que la voluntad de terceros para conocer los datos
se pondere a la baja y las precauciones puedan ser menos complejas, siempre
hablando de datos de categoría no especial que, como hemos dicho, deben ser
siempre protegidos con la mayor diligencia.
Todas
estas decisiones deben tomarse en el seno del principio de accountability al que hemos hecho ya mención en otras entradas y
que sirve de guía a la aplicación del RGPD y de la nueva LOPDgdd y que obliga
al responsable a acometer con diligencia la toma de medidas de seguridad y
protección de los datos basándose en un honesto análisis del riego en los
tratamientos que lleva a cabo.
En
lo que se refiere a la anonimización de datos por medio de hashes en la reseñada guía se ofrecen muchas soluciones y de muy
distinta complejidad, pero es importante también tener en cuenta la forma del
tratamiento de los datos personales. Y una cuestión que, aunque en este momento
actual nos queda un poco lejana, no podemos perder de vista. Nos referimos a la
reciente noticia según la cual Google, según publica la revista Nature habría logrado la supremacía
cuántica, logrando así el avance más importante en la historia de la
computación. ¿Qué consecuencias puede tener esto? Pues que si nos estamos
preocupando del cifrado de datos a través de hashes y sobre las posibilidades de recuperación de los datos
cifrados a través de computación inversa, planos de arcoíris y diccionarios de
cifrados, todo pasará a ser secundario (e innecesario para quien tuviese
interés en revertir el cifrado de los datos y conocer su contenido original) si
tiene acceso a computadoras capaces de formular cálculos cuánticos, pues dicha
computación podrá revertir los procesos de cifrado no cuántico de una manera
sencilla, disminuyendo los costes de robo de datos y, por tanto, haciendo
rentable la reversión del cifrado de cualquier tipo de datos, conllevando esto
un mayor riego para los responsables de tratamiento y, en consecuencia, de los
interesados titulares de los datos.
Para
tranquilidad del lector, debemos decir que los propios creadores de la
computadora de Google son moderadamente escépticos sobre una utilidad práctica
cercana de la computación cuántica en el estado “rudimentario” en el que se
encuentra el proyecto en la actualidad. Si bien no niegan la futura utilidad en
campos prácticos del descubrimiento en ciernes, lo cierto es que en la
actualidad se trata más de un ejercicio científico que puramente tecnológico.
Como se recogió en la revista Nature “el hallazgo es comparable a los primeros
vuelos de los hermanos Wright”.
De
acuerdo con todo lo anterior, la reflexión que debe hacerse se basa en la
conveniencia de utilizar los nuevos instrumentos que nos ofrecen los avances
tecnológicos para adquirir nuevas herramientas para combatir los problemas que
los mismo avances plantean en los ordenamientos jurídicos a través de tensiones
con los derechos reconocidos o el contenido de las normativas configuradoras de
los mismos. Frente a los desafíos que plantean las tecnologías disruptivas, los
juristas debemos estar preparados para crear soluciones jurídicas basadas en
las tecnologías que plantean los nuevos escenarios
Volvemos
al inicio de esta entrada: la realidad y los avances tecnológicos imponen
nuevos desafíos al legislador, obligado no solo a proteger los derechos de los
ciudadanos, sino también a articular instrumentos para ello.
No hay comentarios:
Publicar un comentario