Con motivo del Día de Protección de Datos, la Agencia de Ciberseguridad de la Unión Europea (ENISA) publicó el informe “Ingeniería de protección de datos”, el cual analiza las tecnologías y técnicas de seguridad existentes en relación con el cumplimiento de los principios de protección de datos establecidos en el artículo 5 del Reglamento General de Protección de Datos.
Como todos sabemos, se celebra este día desde el 2006 para conmemorar la aprobación en 1981 del Convenio 108 del Consejo de Europa cuyo fin es garantizar el respeto del derecho a la vida privada en lo relacionado con el tratamiento de los datos de carácter personales.
Pero los tiempos cambian. Nos encontramos muy lejos del contexto social y tecnológico de aquellas fechas. Ya no trabajamos únicamente en papel y con pequeños archivos de datos en ordenadores aislados. Por esto, debemos reflexionar sobre la importancia de que se presente este informe con este alcance justo en este día.
La aparición de tecnologías emergentes, big data, cloud computing, blockchain, artificial intelligence entre otras, están generando riesgos para la privacidad nunca vistos, como puede ser; la ausencia de control y transparencia, posible reutilización de los datos, o re identificación.
Este escenario nos está forzando a reinventarnos en ingenieros de privacidad, de tal manera que no sólo comprendamos lo que implican técnicas como k-anonimidad, cifrado, privacidad diferencial, o seudonimización. Sino que seamos capaces de integrarlas con naturalidad en el día a día embebiendo en el ADN del proyecto la privacidad desde el diseño y por defecto.
Con estos cambios no podemos pensar que la privacidad desde el diseño y por defecto es sólo introducir controles operativos, sino que debemos ir un paso más allá. Ser conscientes de que para aplicar esta ingeniería de privacidad debemos traducir esas técnicas en algo tangible. Para esto debemos apoyarnos en soluciones ad-hoc o disponibles en el mercado que materializan estas técnicas en tecnologías de mejora de la privacidad, comúnmente PETs. Por ejemplo, el disponer de bases de datos sintéticas que permitan entrenar algoritmos, de entornos de computación multiparte segura que permitan compartir información entre entidades, o herramientas de ofuscación de imágenes para poder trabajar con sistemas de reconocimiento, deben ser algo habitual en nuestro entorno.
En conclusión, debemos estar entrenados para implementar los principios de protección de datos no sólo en el papel o en los procesos de la compañía, sino bajar a un nivel de protección del dato en términos técnicos. Los delegados de protección de datos debemos ver en las PETs una herramienta de trabajo, al igual que disponemos de cláusulas contractuales tipo o registros de actividades de tratamiento. Son un recurso más que permite apoyar e impulsar os la transformación digital de nuestras compañías garantizando la seguridad y privacidad de los datos personales.
Rosa Mª Lago Espejo-Saavedra, DPO MAPFRE ESPAÑA y Luisa Fernandez Nuñez- Vilabeiran, Privacidad y Protección de datos de MAPFRE ESPAÑA miembros del Observatorio Privacidad de Datos y Derechos Digitales
Deja tu comentario