AEPD: Xifrat i privacitat


Manuel Castilleja Toscano     07/07/2020


XIFRAT I PRIVACITAT I: xifrat al RGPD

S'admet el xifrat de les dades personals com un mètode "eficaç" pel que fa la protecció d'aquestes dades.

• Tot i que es produeixi un accés no autoritzat a les dades personals, si aquestes estan xifrades, es garanteix l'anonimat, ja que no es poden deduir les dades personals originals que representen.

• El xifrat de dades personals, més enllà del que estableix l'article 32.1.a) del GDPR, com una mesura necessària per garantir un nivell de seguretat adequat al risc, és estrictament recomanable fer-ho, ja que el mateix GDPR, al seu article 34.3.a), l'estableix com una de les eximents per no tenir l'obligació de comunicar una bretxa de seguretat de les dades personals als interessats quan aquestes estan xifrades, perquè les dades personals no s'han vist compromeses.

• Per determinar si el tractament de les dades personals per a un fi diferent a l'inicial pot ser compatible, sempre que el tractament no estigui basat en el consentiment de l'interessat o en una obligació legal, es tindrà en compte entre altres qüestions, l'existència de garanties adequades, que podrien incloure el xifrat.

No s'admet que es pugui disposar d'una clau (contrasenya) que faciliti el seu desxifrat.

• No és admissible l'ús d'una clau o deixar portes obertes que permetin el desxifrat de les dades, ja que això comporta una vulnerabilitat.

• Si existeix una clau, aquesta podria caure a mans d'un tercer i, per tant, es podria accedir a les dades.

Tot i així, cal tenir present que la utilització de xifrat no elimina la naturalesa de la dada personal, de manera que la informació xifrada no és informació anonimitzada.

https://www.aepd.es/es/prensa-y-comunicacion/blog/cifrado-y-privacidad-cifrado-en-el-rgpd


XIFRAT I PRIVACITAT II: el temps de vida de la dada

No hi ha cap algoritme de xifrat que sigui segur per a tota la vida, ja que les tecnologies avancen, apareixen vulnerabilitats i aquests algoritmes s'han d'anar actualitzant, o bé reemplaçant.

Tenint en compte aquesta "caducitat" dels mètodes de xifrat, és important utilitzar mètodes bons i que garanteixin la seguretat de les dades durant un període de temps que serà més llarg o curt segons la categoria o naturalesa dels mateixos.

El sistema de xifrat que validem per utilitzar ha d'estar integrat per defecte al tractament de dades personals des del disseny de l'operació de tractament (privacitat des del disseny i per defecte).

https://www.aepd.es/es/prensa-y-comunicacion/blog/criptografia-y-privacidad-ii-el-tiempo-de-vida-del-dato


XIFRAT I PRIVACITAT III: xifrat homomòrfic

En aquest article es menciona un sistema de xifrat que permet treballar amb dades personals sense la necessitat que hi hagi un desxifrat pel mig. És a dir, les dades que com a usuaris visualitzem estarien desxifrades per poder-les entendre, però les dades amb les que treballaria la màquina no s'haurien de desxifrar.

El xifrat homomòrfic és una tècnica que permet realitzar amb ET operacions sobre les dades xifrades i obtenir resultats, també xifrats, equivalents a les operacions realitzades directament sobre la informació original.

És una mesura molt interessant de Privacitat per Defecte, especialment per al tractament de categories especials de dades, al evitar que l'encarregat accedeixi al contingut de la informació. A més, té avantatges operatives, com eliminar la necessitat d'establir una relació de claus entre responsable i encarregat, de manera que la gestió del sistema de xifrat no és necessari que s'exposi a l'exterior.

Aquest sistema encara no està del tot consolidat i si se'n fa algun ús és, sobretot, en IOT (Internet de les coses) i Machine Learning (intel·ligència artificial).

Existeix la possibilitat que quan aquest sistema sigui molt estable tampoc s'utilitzi per tractar dades d'usuaris a app o webs. Això es deu a que cada sistema de xifrat consumeix uns recursos i això podria fer que repercutís en un cost que no seria gens rendible, ja que com es diu al segon article, hi ha mètodes de xifrats més o menys adequats segons la necessitat que hagin de cobrir.

https://www.aepd.es/es/prensa-y-comunicacion/blog/cifrado-privacidad-iii-cifrado-homomorfico