Entre las innumerables exigencias de cumplimiento normativo que afectan a las organizaciones están proliferando las relacionadas con la privacidad. Razón por la que cada vez más se buscan herramientas o mecanismos que permitan optimizar el cumplimiento de regulaciones tan diversas.
En materia de privacidad, es inevitable pensar en las Privacy Enhancing Technologies (en adelante PET o PETs) que, a pesar de no ser un concepto nuevo, ya que lleva años siendo objeto de trabajo y análisis por parte de diferentes organismos y autoridades, las PET siguen suscitando interés y atrayendo la atención de todas las organizaciones que buscan optimizar y automatizar el cumplimiento en materia de privacidad.
Aunque están muy vinculadas al concepto de protección de datos desde el diseño y por defecto que el Reglamento General de Protección de Datos (RGPD) instauró en su artículo 25, y por lo tanto se pueden enmarcar dentro de las medidas técnicas y organizativas que las entidades deben implementar, lo cierto es que en la normativa de protección de datos no se mencionan las PET de manera específica.
Sin embargo, diferentes organismos y autoridades han trabajado en el estudio de estas tecnologías, dando diversas definiciones sobre las PET. En este sentido, la autoridad de protección de datos de Reino Unido, Information Commissioner’s Officer (ICO), ha publicado recientemente una Guía sobre la anonimización, seudonimización y uso de las PET (Draft anonymisation pseudonymisation and privacy enhancing technologies guidance), que, aunque se encuentra en proceso de consulta y por lo tanto se trata de un borrador, define las PET como tecnologías que encarnan los principios fundamentales de la protección de datos al minimizar el uso de datos personales y maximizar la seguridad de los datos y/o capacitar a las personas, abarcando muchas tecnologías y técnicas diferentes.
Por su parte, la propia Agencia Ciberseguridad de la Unión Europea (ENISA) se ha referido a las PET como sistemas que engloban procesos, métodos o conocimientos técnicos para lograr una funcionalidad específica de protección de la intimidad o de los datos de las personas físicas. En este sentido, ENISA lleva años trabajando en promover un uso unificado de las PET, publicando diferente documentación sobre su análisis, llegando a crear una herramienta que permite realizar la evaluación de idoneidad de las PET. Una evaluación que es necesaria antes de implementar y poner en uso las PET dentro de una organización.
Ahora bien, para entender qué pueden aportar las PET a las organizaciones y cómo ayudan al cumplimiento normativo de protección de datos, es necesario conocer que existen diferentes tipos de PETs. Si bien a lo largo del tiempo diferentes entidades u organizaciones han desarrollado diversidad de clasificaciones de PETs, por ejemplo, en opacas y transparentes según The European Project on the Future of Identity in the Information Society (FIDIS), Privacy Protection y Privacy managment, de la mano del grupo Meta, entre muchos otros, lo cierto es que en la actualidad no existe una clasificación estandarizada en base a unos criterios homogéneos.
Si nos centramos en la información que ahora incluye la ICO en este documento, existen diferentes tipos de PET que pueden ayudar a cumplir con la protección de datos personales, en especial con el principio de protección de datos desde el diseño y por defecto, entre las que se destacan las siguientes:
Las PET pueden ayudar a demostrar el cumplimiento de la protección de datos desde el diseño y por defecto, ya que favorecen la garantía de principios y obligaciones que son pilares básicos del RGPD:
Aunque es indudable que los beneficios que comportan las PET son innumerables, no se debe perder de vista que al ser nuevas tecnologías que apoyan el cumplimiento normativo, en este caso de protección de datos, pueden comportar ciertas debilidades ligadas a la falta de madurez, experiencia en su configuración u otros derivados del uso de la tecnología en general como pueden ser ataques o vulnerabilidades. Para ello, además de probar su eficiencia, se deberá velar por que las medidas de seguridad que tengan implementadas sean adecuadas y sigan las mejores prácticas del mercado.
Además, la guía de la ICO propone determinar la madurez de las PET, por ejemplo, a través de los niveles TRL (Technology readiness levels) de preparación tecnológica. De igual modo la ENISA también ha trabajado en este tema, e incluso ha publicado unos papeles de trabajo para evaluar dicha madurez.
Otra de las dificultades a las que se puede enfrentar este tipo de tecnología es la implementación efectiva partiendo de modelos teóricos. Para ello la organización deberá evaluar las capacidades internas de sus equipos de tecnología de cara a valorar si es viable abordar la PET a través de un desarrollo interno o por su parte valorar productos o herramientas en el mercado que puedan cubrir las expectativas.
Además, cabe mencionar que es recomendable que los equipos que se vean impactados por la PET o que vayan a trabajar con esta sean partícipes del proyecto y, en el momento de su puesta en marcha, cuenten con un soporte de formación. Así, se evitará que la herramienta de referencia pueda caer en desuso.
Aunque hemos escuchado mucho hablar de esta tecnología y, los beneficios que implica son indudables, es cierto que todavía se observa algo de incertidumbre con respecto a la misma. Es por ello que, por el momento, es un término abierto que puede agrupar numerosos tipos de solución si bien entendemos que este es uno de los paradigmas de la tecnología: la evolución y el cambio continuo.
No obstante, no nos cabe duda de que la automatización de la privacidad mejora notablemente los procesos de protección de datos haciéndolos más eficientes y seguros.
Deja un comentario