LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 09:07:49

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Cifrado de datos: ¿obligación o garantía de confianza?

Responsable del Dpto de Protección de Datos, Privacidad y Tecnologías de la Información de Hegalex

Para que dos seres humanos se comuniquen es indispensable la existencia de un emisor, un receptor y un medio físico a través del que transmitir un mensaje. Cuando utilizamos Internet como canal de comunicación, el mensaje circula a través de la red utilizando un modelo de comunicación creado al efecto. Este modelo se compone de diferentes capas que permiten la transmisión de la información, y actúa desde la definición de la infraestructura física básica, como por ejemplo los cables, hasta la conversión de los bits (0 y 1) en la información que llega a nuestras pantallas.

Símbolo de Internet

La última capa del modelo de comunicación es la más cercana al usuario final, y es la que permite la comunicación entre el «cliente» (el navegador de un usuario de internet) y el «servidor web» (una página de internet). En esta última capa es dónde encontramos entre otros protocolos, el «http» («Hypertext Transfer Protocol»).

La revolución digital en la que nos encontramos inmersos desde la última década, ha supuesto una multiplicación de servicios que han migrado del mundo físico al mundo virtual, y otros que han ido naciendo en este espacio. El e-commerce, la banca digital, la e-administración, o servicios puramente digitales como los de almacenamiento de información o plataformas de economía colaborativa. Todos estos servicios tienen algo en común, los mecanismos de autenticación e identificación que se implantan para permitir una comunicación privada y segura, por ejemplo, mediante el uso de identificadores nominales, usuario y contraseña.

Es entonces, cuando de la necesidad de reforzar las garantías en las comunicaciones o transacciones a través de medios digitales surge el «https», o lo que es lo mismo, el «HyperText Transfer Protocol Secure». Este protocolo tiene entre sus misiones garantizar que la información enviada se mantenga confidencial e íntegra y asegurar que la persona a la que enviamos dicha información es quien realmente dice ser. El «https» se basa en el protocolo criptográfico SSL/TLS que cifra la información, de manera que un tercero que pudiera interceptar la comunicación, no fuera capaz de descifrar el contenido de la misma y que autentica a la persona física o jurídica a la que pertenece dicho sitio web.

El cifrado de la información es exigible en virtud del artículo 104 del Reglamento 1720/2007, que establece que la información deberá ser cifrada cuando la transmisión de datos personales especialmente protegidos se realice a través de redes públicas o redes inalámbricas de comunicaciones electrónicas. Por lo tanto, un prestador de servicios de la sociedad de la información, que en sus comunicaciones con usuarios recabara este tipo de datos, estaría obligado a implantar mecanismos de cifrado en su página web.

El RGPD 2016/679 no realiza la distinción entre categorías de datos ni impone medidas tasadas de seguridad. No obstante, sí que se refiere a la adopción del cifrado como medida técnica apropiada para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta factores como el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. A partir de la entrada en aplicación del RGPD, un responsable que recabe datos personales deberá en virtud de un análisis de los tratamientos que realice, determinar si es necesario cifrar la información para garantizar su seguridad. Un responsable podría tener en cuenta el estándar internacional ISO 27000, sobre sistemas de gestión de seguridad de la información que, dentro de su apartado Intercambio de información, cita el uso de técnicas criptográficas para la salvaguarda de la confidencialidad e integridad de los datos que circulan a través de redes públicas o inalámbricas.

En determinados sectores existen normas específicas que obligan al cifrado de la información. Es el caso del Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Pública o de la normativa PCI-DSS en el ámbito de pagos online (datos de tarjetas bancarias).

Más allá de las obligaciones que acabamos de citar, es indiscutible que a día de hoy un prestador de servicios que no nos ofrezca garantías suficientes a la hora de relacionarnos telemáticamente, no nos ofrecerá la suficiente confianza. Incluso Google, puede llegar a penalizar a páginas webs que no utilicen protocolo de cifrado seguro, siendo un parámetro negativo dentro del algoritmo Page Rank.

El certificado SSL/TLS también permite la autenticación del propietario de un sitio web, vinculando el sitio web con la persona física o jurídica a quien se ha expedido el certificado.

Los servicios certificados para la autenticación de sitios web están regulados en el Reglamento 910/2014, conocido como eIDAS, y se realizan por un prestador de servicios de confianza encargado de crearlos, verificarlos y validarlos. Esta norma establece además los requisitos adicionales que deberán cumplir los certificados cualificados de autenticación web, que contendrán una serie de datos adicionales. Entro otros requisitos podemos destacar la información sobre la identidad del prestador cualificado de servicios de confianza, que expide el certificado, como de las personas para las que se expide, el nombre de dominio explotado, el periodo de validez y el código de identidad del certificado y la firma o sello electrónico avanzado del prestador de servicios de confianza.

Para concluir, debemos retener que ya sea por obligación legal, o por la confianza que un prestador de servicios desee generar en su servicio online, el certificado SSL/TLS se ha convertido en algo imprescindible.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.