Utilizamos cookies propias y de terceros para fines analíticos y para mostrarle publicidad personalizada en base a un perfil elaborado a partir de sus hábitos de navegación (por ejemplo, páginas visitadas). Puede aceptar las cookies haciendo clic en el botón «Acepto» o configurarlas o rechazar su uso haciendo clic en la Política de cookies

Acepto

Inicio > Blog

18 Oct Web AEPD

Encriptar y Privacidad: encriptado en el RGPD


En el RGPD se encuentran referencias expresas al cifrado en el considerando 83, donde se establece que el cifrado es una de las medidas posibles que pueden emplear tanto responsables como encargados del tratamiento para mitigar el riesgo:
“Cons. 83. A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.”
En el artículo 6 “Licitud del Tratamiento” en el apartado 4, se establece, en su letra e), el cifrado como una de las garantías adecuadas para determinar la compatibilidad de un tratamiento para un fin distinto para el que se recogieron los datos:
“Art. 6.4 Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.”
En el artículo 32 Seguridad del tratamiento, en su apartado 1, letra a), incluye el cifrado como una de las posibles medidas de seguridad a adoptar tanto por responsables como por encargados:
“Art. 32.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales
…”                                     
Finalmente, en el artículo 34 “Comunicación de una violación de la seguridad de los datos personales al interesado”, en el apartado 3 letra a), se establece el cifrado como una de las medidas que, en el caso que se haya producido un acceso no autorizado, eximen de la obligación de comunicación de la brecha de seguridad a los sujetos de los datos comprometidos:
“Art. 34.3.   La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
…”
En la LOPDGDD, que complementa el RGPD, no se encuentran nuevas referencias al cifrado.  
En abril de 2018, el entonces Grupo del Artículo 29, ahora Comité Europeo de Protección de Datos, publicó una Declaración sobre el cifrado y su impacto en la protección de los individuos con respecto a la protección de sus datos personales en la Unión Europea. En el texto se considera el cifrado como un elemento capital para garantizar la privacidad de las comunicaciones y defiende la necesidad de implementar sistemas de cifrado robustos, eficientes y estandarizados para la protección de la privacidad de los ciudadanos europeos.
La Declaración establece el cifrado como un elemento necesario e irremplazable para garantizar la privacidad de la comunicación en Internet y que dicha protección ha de implementarse de extremo a extremo, es decir, directamente entre los usuarios finales sin elementos intermedios que tengan acceso a la información.
Dichos sistemas no pueden tener limitaciones en su rendimiento con el propósito de permitir la supervisión de las comunicaciones por las autoridades policiales o judiciales. La necesidad de levantar el velo de las comunicaciones para la investigación de actividades criminales no justifica la incorporación de vulnerabilidades secretas en los sistemas de cifrado, como claves maestras o puertas traseras.
Para terminar este post, el Dictamen 05/2014 sobre técnicas de anonimización del Grupo del Artículo 29 establece los límites del cifrado con relación a los datos de carácter personal:
“Las técnicas de seudonimización más utilizadas son las siguientes:
- Cifrado con clave secreta:

Ni el cifrado ni la codificación con clave sirven en sí mismos para que un interesado no pueda ser identificado, ya que aún se puede acceder a los datos originales o deducirlos, al menos si están en manos del responsable del tratamiento…
Es engañoso fiarse exclusivamente de la solidez del mecanismo de cifrado como medida del grado de anonimización de un conjunto de datos,”
En definitiva, el uso de cifrado es una de las garantías que se pueden incorporar en un tratamiento para gestionar el riesgo, en particular cuando la comunicación se realice a través de Internet, cuando los datos personales se van a utilizar para un fin distinto de aquél para el que se recogieron, como técnica apropiada de seudonimización o cuando se ha producido una brecha de seguridad. Además, las aplicaciones de cifrado no pueden ver reducida su fortaleza por consideraciones de seguridad a cualquier nivel.
Sin embargo, hay que tener presente que la utilización de cifrado no elimina la naturaleza de dato de carácter personal, por lo que la información cifrada no es información anonimizada.

Volver al blog

Enlaces

¿Quienes somos?

Somos una consultora legal en Privacidad, especialistas en Protección de datos.

icono-serproseg

Servicios SERPROSEG

Protección de datos
DPD
Reputación en Internet
Propiedad industrial
Emisión de certificados digitales
Emisión de sello electrónico
Emisión de marca de tiempo
 

Otros Servicios

Destrucción documental certificada
Autenticación de doble canal 
Backups: a prueba de ransomware 
Securización de WI-FI publica (HOT SPOT) 
Dominios y hosting 
Web master
R.R.S.S. 
Mantenimiento informático
Antivirus profesionales 
Laboratorio informático pericial 
Respuesta ante incidentes de seguridad 
Consultoría de seguridad, sistemas y comunicaciones 
Análisis forense, peritaje informático y tasación 
Desarrollo de herramientas de seguridad a medida 
Soporte en seguridad perimetral, sistemas y comunicaciones
Securización de infraestructuras y sistemas 
Auditoría de seguridad y hacking ético
Telefonía IP y soluciones Cloud