En 2025, el valor estimado de los datos para la economía en la Unión Europea será de 829 000 millones de euros. En 2018, era de 301 000 millones (2,4 % del PIB de la UE).
Teniendo esto en cuenta, …
La entrada Ingeniería y comunicación de datos personales: casos de uso y tecnologías se publicó primero en Legal Today.
BLOG PRODAT
Consultora en protección de datos
En 2025, el valor estimado de los datos para la economía en la Unión Europea será de 829 000 millones de euros.
En 2018, era de 301 000 millones (2,4 % del PIB de la UE).
Reutilizar y compartir esos datos para aprovechar e incrementar su valor, proporcionar una utilidad adicional a los existentes o responder ante emergencias se ha convertido en una actividad habitual en el entorno de las entidades de salud públicas y privadas, llegando a traspasar fronteras.
A pesar de que no es el objetivo de este artículo, no podemos pasar por alto que toda operación de tratamiento requiere de un análisis previo y ponderado en el que se identifique la base de legitimación más adecuada para cada una de las finalidades bajo las que la operación o su conjunto va a ser puesto en marcha, así como el ciclo de vida de cada dato personal recopilado y su papel en la trama.
Pero, además, es fundamental que los titulares de esos datos obtengan, pero, sobre todo, comprendan los principios bajo los que este se asienta, así como qué derechos tienen y cómo pueden ejercerlos.
Esto, en el campo de las transmisiones de datos, pasaría por ser transparentes, informando y permitiéndole llegar a controlar quién, cuándo, qué y cómo tendrán acceso a sus datos.
ENISA nos plantea un problema que análogamente se puede llegar a extrapolar a otros sectores, ¿cómo compartimos de forma selectiva los datos generados por un dispositivo?.
La configuración de los accesos no tiene por qué basarse exclusivamente en la identidad de aquel que desea acceder, sino que su parametrización puede pasar por otros criterios, como también en parámetros adicionales, como el período de tiempo de esos datos, aunque esta fórmula tiene limitaciones en términos de eficacia cuando hablamos de muchos actores y grandes volúmenes de datos.
Para superar este obstáculo, se acude a los cifrados basados en atributos, como el de identidad difusa, que son cifrados asimétricos en el que los datos se cifran con una clave pública maestra, pero en donde coexisten más de una clave de descifrado, vinculado a pequeñas piezas de información adicional relacionada con los datos, que se denominan atributos.
Volviendo al ejemplo, los datos del usuario son generados por su dispositivo y se asignan a objetos que describen atributos específicos relacionados con ellos, como por ejemplo la fecha de origen.
Con estos se define posteriormente el mecanismo de control de acceso a los datos a través de una política.
Posteriormente, los datos se cifran con la clave maestra y se almacenan.
Cuando un tercero solicita acceso a esos datos, la política especifica qué propiedades exactas, en función de esos atributos definidos, deben cumplir para conceder acceso.
Siguiendo con el ejemplo, se le puede solicitar el año, el destinatario y los archivos o datos a acceder.
Finalmente, el tercero recibirá la clave de descifrado.
Esta técnica no está libre de contras, puesto que requiere un etiquetado de los datos desde las primeras fases y esto no puede ser siempre posible ni sencillo.
Además, la política debe ser robusta.
Otra técnica es la re-encriptación por proxy, también de encriptación asimétrica, que permite volver a encriptar un conjunto de datos ya encriptados de una clave pública a otra, sin que el proxy tenga acceso al conjunto inicial no encriptado.
En cualquiera de estas dos técnicas, en el caso de que pase por la nube, el proveedor de servicios sí recopilará información relacionada con los datos de dichas transmisiones.
Para ello, se propone el uso del cifrado polimórfico, cuya ventaja es que los datos personales se pueden cifrar de tal forma que no es necesario fijar a priori quién puede descifrarlos.
Este proceso se puede llevar a cabo a través de un tercero de confianza, revistiendo de mayor robustez la confidencialidad.
Además, a cada individuo se le pueden asignar diferentes seudónimos para cada tercero que solicita acceso, evitando la identificación indirecta entre múltiples terceros.
Además de los supuestos en los que una entidad comparte datos directamente con otra entidad, destinataria final de los datos, también hay casos de transmisión como parte de otro proceso o servicio que no es transparente de cara a los usuarios (y, en ocasiones, tampoco para la propia entidad), como el envío y notificación de alertas móviles en el que intervienen editores (Servidor de aplicaciones), terceros (Agente de notificación), el sistema operativo a través de la API y la propia aplicación móvil.
Una solución a dicho problema pasaría por el uso de Protocolos de Notificación Anónimos a través del enrutamiento por proxies, permitiendo el envío de notificaciones a los usuarios sin que los nodos intermediarios conozcan ni al remitente original ni al destinatario final.
Una segunda opción pasa por el cifrado de extremo a extremo en el que el proveedor de la aplicación utiliza la clave pública del usuario y cifra el contenido del mensaje que se envía.
Aunque el mensaje todavía pasa por el intermediario, este no puede descifrarlo, por lo que simplemente entrega los mensajes de notificación.
Cuando el usuario recibe la notificación, puede usar su clave privada para descifrarlo y leer el mensaje enviado, aunque podría observar los metadatos y aprender sobre estas interacciones entre las otras dos entidades.
Una tercera opción pasa por no incorporar datos personales en las notificaciones, lo que se basa en una política diseñada por defecto, bastando con notificar al usuario que existe una actualización o que tiene un mensaje.
Por último, la guía hace alusión a la autenticación, que es un factor clave para acceder a servicios.
ENISA pone el punto en que haya casos en los que la única exigencia está vinculada a criterios específicos, como la edad, que actualmente pasa por autodeclaraciones sin validación alguna.
En este caso, por tanto, la idea pasaría por cómo obtener los datos mínimos necesarios para permitir la autenticación sin revelar información adicional.
La opción más prometedora pasa por un tercero de confianza y una autenticación basada en atributos, como serían las prueba de conocimiento cero.
Sobre esta base, para que un menor de edad accediera a la página web de una bodega, no tendría que revelar su identidad completa, pues el tercero de confianza sólo le comunicaría a la web si tiene más o menos de 18 años.
En definitiva, la estrategia a tomar en lo que a la protección de datos personales se refiere es un elemento integral en la confianza que deben tener personas y organizaciones en el desarrollo de los ecosistemas de intercambio de datos, debiendo revisarse periódicamente y cada vez que las circunstancias se vean modificadas sustancialmente, lo que desde luego pasará cuando la computación cuántica se asiente.
Valora este contenido.
Sé el primero en puntuar este contenido.
No hay entradas relacionadas
PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.
PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.
Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.
Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por el sitio web.
De estas, las cookies que se clasifican como necesarias se almacenan en tu navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web.
Estas cookies no requieren el consentimiento del usuario.
También utilizamos cookies de terceros: analíticas, que nos ayudan a analizar y comprender cómo utilizas este sitio web, y publicitarias, para generar audiencias y ofrecer publicidad personalizada a través de los hábitos de navegación de los usuarios.
Estas cookies se almacenarán en tu navegador solo con tu consentimiento.
También tienes la opción de optar por no recibir estas cookies.
La exclusión voluntaria de algunas de estas cookies puede afectar a tu experiencia de navegación.
Las cookies estrictamente necesarias tiene que estar siempre activadas para el correcto funcionamiento de la web.
No recogen ningún tipo de información personal.
Si desactivas esta cookie no podremos guardar tus preferencias.
Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
Utilizamos cookies de análisis o medición que son aquellas que, tratadas por nosotros, nos permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en los productos o servicios ofertados en función del análisis de los datos de uso que hacen los usuarios del servicio.
¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!
Utilizamos cookies publicitarias que son aquellas que, tratadas por nosotros o por terceros, almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico de navegación de los usuarios para mostrarles publicidad en función del mismo.
¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!
