Bretxes de dades personals en entorns de proves, desenvolupament i preproducció


Manuel Castilleja Toscano     28/04/2022


El 18/04/2022 la AEPD ha publicat un article sobre les bretxes de dades personals en entorns de desenvolupament i preproducció, que analitzem a continuació:

L'enginyeria de sistemes estableix la conveniència de treballar abans de la fase de producció amb entorns de desenvolupament i preproducció. En aquests entorns de proves, desenvolupament o preproducció, encara que s'ha de limitar l'exposició de dades personals reals, de vegades és inevitable tractar-les, per la qual cosa poden patir violacions o bretxes de seguretat de les dades personals si no s'adopten mesures tècniques i organitzatives adequades al risc que aquests tractaments puguin suposar per als drets i les llibertats dels interessats; no per ser entorns de prova s'han d'obviar les mesures de seguretat exigides pel GDPR al seu art. 32.

En aquesta línia, el Supervisor Europeu de Protecció de Dades (SEPD/EDPS) a les seves “Directrius sobre la protecció de dades personals a la governança i la gestió de TI de les institucions de la UE.” Indica que:

  • A la fase de prova, cal evitar l'ús de dades personals reals, que no van ser recollides per a aquests fins i pot donar lloc a l'accés de persones no autoritzades (80).
  • Sempre que sigui possible, cal utilitzar dades de prova creades artificialment o derivades de dades reals (sintètiques), de manera que se'n conservi l'estructura, però no continguin dades personals reals (81).
  • Quan una anàlisi demostri que les dades creades no poden proporcionar prou garantia de la validesa de les proves, s'ha de prendre una decisió exhaustiva i documentada, que defineixi quines dades reals s'utilitzaran a la prova, el més limitat com sigui possible, les salvaguardes tècniques i organitzatives addicionals que s'estableixin a l'entorn de les proves. Les categories especials de dades només es poden utilitzar a les proves de dades reals amb el consentiment explícit de les persones afectades (82).

Per tant, als entorns de proves, desenvolupament o preproducció hem de:

  • Aplicar una política estricta de “need-to-know”, és a dir, que cada persona de l'organització accedirà exclusivament al que necessita saber per a l'exercici de les seves funcions.
  • D'acord amb el principi de minimització de dades i el principi de protecció de dades des del disseny i per defecte, quan sigui possible cal evitar la utilització de dades personals.
  • En molts casos la utilització de dades sintètiques evita el tractament de dades personals (hi ha serveis, alguns de codi obert, per a la generació de dades sintètiques).
  • Quan sigui necessari la utilització dades personals s'haurà de documentar mitjançant una anàlisi de necessitat i proporcionalitat i de les bases jurídiques, i en tot cas aplicar les mesures tècniques i organitzatives que siguin necessàries, de la mateixa manera que en els entorns de producció i, en tot cas , apropiades per als riscos específics a la privadesa; a més, aquestes dades seran o formaran part de tractaments de dades personals i s'ha de complir amb totes les obligacions del RGPD. El context en què tingui lloc un determinat tractament de dades no eximeix els responsables de les seves obligacions per tal de proporcionar als interessats el nivell de protecció adequat en cada cas amb independència del context esmentat (desenvolupament, preproducció o producció)
  • No aplicar les mesures tècniques i organitzatives adequades al nivell de risc per als drets i les llibertats en tots els entorns suposa una vulneració de l'article 32 del RGPD i fins i tot pot suposar una vulneració d'altres principis com els principis de finalitat, necessitat i proporcionalitat.