Cifrado y Privacidad: cifrado en el RGPD
El uso de cifrado o de técnicas de cifrado o criptográficas es un elemento básico de seguridad en la política de información de una entidad y, en particular, es una de las garantías adicionales que se pueden emplear para reducir el riesgo en el tratamiento de datos de carácter personal.
En el RGPD se encuentran referencias expresas al cifrado en el considerando 83, donde se establece que el cifrado es una de las medidas posibles que pueden emplear tanto responsables como encargados del tratamiento para mitigar el riesgo:
“Cons. 83. A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.”
En el artículo 6 “Licitud del Tratamiento” en el apartado 4, se establece, en su letra e), el cifrado como una de las garantías adecuadas para determinar la compatibilidad de un tratamiento para un fin distinto para el que se recogieron los datos:
“Art. 6.4 Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
…
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.”
En el artículo 32 Seguridad del tratamiento, en su apartado 1, letra a), incluye el cifrado como una de las posibles medidas de seguridad a adoptar tanto por responsables como por encargados:
“Art. 32.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales
…”
Finalmente, en el artículo 34 “Comunicación de una violación de la seguridad de los datos personales al interesado”, en el apartado 3 letra a), se establece el cifrado como una de las medidas que, en el caso que se haya producido un acceso no autorizado, eximen de la obligación de comunicación de la brecha de seguridad a los sujetos de los datos comprometidos:
“Art. 34.3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
…”
En la LOPDGDD, que complementa el RGPD, no se encuentran nuevas referencias al cifrado.
En abril de 2018, el entonces Grupo del Artículo 29, ahora Comité Europeo de Protección de Datos, publicó una Declaración sobre el cifrado y su impacto en la protección de los individuos con respecto a la protección de sus datos personales en la Unión Europea. En el texto se considera el cifrado como un elemento capital para garantizar la privacidad de las comunicaciones y defiende la necesidad de implementar sistemas de cifrado robustos, eficientes y estandarizados para la protección de la privacidad de los ciudadanos europeos.
La Declaración establece el cifrado como un elemento necesario e irremplazable para garantizar la privacidad de la comunicación en Internet y que dicha protección ha de implementarse de extremo a extremo, es decir, directamente entre los usuarios finales sin elementos intermedios que tengan acceso a la información.
Dichos sistemas no pueden tener limitaciones en su rendimiento con el propósito de permitir la supervisión de las comunicaciones por las autoridades policiales o judiciales. La necesidad de levantar el velo de las comunicaciones para la investigación de actividades criminales no justifica la incorporación de vulnerabilidades secretas en los sistemas de cifrado, como claves maestras o puertas traseras.
Para terminar este post, el Dictamen 05/2014 sobre técnicas de anonimización del Grupo del Artículo 29 establece los límites del cifrado con relación a los datos de carácter personal:
“Las técnicas de seudonimización más utilizadas son las siguientes:
- Cifrado con clave secreta:
…
Ni el cifrado ni la codificación con clave sirven en sí mismos para que un interesado no pueda ser identificado, ya que aún se puede acceder a los datos originales o deducirlos, al menos si están en manos del responsable del tratamiento…
Es engañoso fiarse exclusivamente de la solidez del mecanismo de cifrado como medida del grado de anonimización de un conjunto de datos,…”
En definitiva, el uso de cifrado es una de las garantías que se pueden incorporar en un tratamiento para gestionar el riesgo, en particular cuando la comunicación se realice a través de Internet, cuando los datos personales se van a utilizar para un fin distinto de aquél para el que se recogieron, como técnica apropiada de seudonimización o cuando se ha producido una brecha de seguridad. Además, las aplicaciones de cifrado no pueden ver reducida su fortaleza por consideraciones de seguridad a cualquier nivel.
Sin embargo, hay que tener presente que la utilización de cifrado no elimina la naturaleza de dato de carácter personal, por lo que la información cifrada no es información anonimizada.
