En 2025, el valor estimado de los datos para la economía en la Unión Europea será de 829 000 millones de euros. En 2018, era de 301 000 millones (2,4 % del PIB de la UE).
Teniendo esto en cuenta, y con motivo del Día de la Protección de Datos, la Agencia de la Unión Europea para la Ciberseguridad (en adelante, ENISA), cuya consecución de objetivos pasa porque todos los Estados Miembros posean un alto nivel en materia de ciberseguridad, publicó una guía sobre técnicas y tecnologías aplicables a las comunicaciones de datos personales entre entidades, con independencia de la posición que asuman en el tablero, si bien profundiza en el sector de la salud con el objetivo de demostrar cómo se pueden cumplir los principios en materia de protección de datos mediante el uso adecuado de soluciones tecnológicas basadas en técnicas criptográficas avanzadas.
Reutilizar y compartir esos datos para aprovechar e incrementar su valor, proporcionar una utilidad adicional a los existentes o responder ante emergencias se ha convertido en una actividad habitual en el entorno de las entidades de salud públicas y privadas, llegando a traspasar fronteras.
Ejemplos de ello, son la propuesta del Espacio Europeo de Datos Sanitarios, que busca crear un marco de gobernanza en el intercambio de datos específico para el sector, a través de normas claras y homogéneas “para fines de investigación, innovación, formulación de políticas, seguridad del paciente, estadísticas o normativas” y la Ley Europea de Gobernanza de los Datos, que prevé mecanismos para aumentar la disponibilidad de datos en el sector público, ayudando a mitigar los obstáculos técnicos sobre la reutilización de datos basados en el interés público, aunque también se enfoca en el sector sanitario, buscando mejorar los tratamientos y la asistencia actual, así como proporcionar una respuesta más rápida y eficaz a las crisis sanitarias.
A pesar de que no es el objetivo de este artículo, no podemos pasar por alto que toda operación de tratamiento requiere de un análisis previo y ponderado en el que se identifique la base de legitimación más adecuada para cada una de las finalidades bajo las que la operación o su conjunto va a ser puesto en marcha, así como el ciclo de vida de cada dato personal recopilado y su papel en la trama.
De lo contrario, pasaríamos a movernos fuera de los márgenes, tal y como lo recalca la Agencia Española de Protección de los Datos en su Guía de gestión de riesgo y evaluación de impacto en tratamientos de datos personales, cuando asevera que “no sería lícito reemplazar cualquiera de los principios del RGPD por medidas técnicas y organizativas encaminadas a sustituir dichos principios o a mitigar las posibles consecuencias que dicha falta de cumplimiento pudiera tener sobre los interesados afectados”.
Pero, además, es fundamental que los titulares de esos datos obtengan, pero, sobre todo, comprendan los principios bajo los que este se asienta, así como qué derechos tienen y cómo pueden ejercerlos. Esto, en el campo de las transmisiones de datos, pasaría por ser transparentes, informando y permitiéndole llegar a controlar quién, cuándo, qué y cómo tendrán acceso a sus datos.
Es, por tanto, en esa “segunda fase” en donde la ingeniería de protección de datos tiene un papel clave para construir un ecosistema de intercambio de información personal robusto, haciendo frente a los riesgos emergentes que genera el desarrollo tecnológico, ayudando a cumplir con esa protección de datos desde el diseño y por defecto, al albur de lo dispuesto en el artículo 25 RGPD, lo que implica que cada medida técnica y organizativa debe tener la máxima de producir los resultados previstos en el contexto específico bajo el que el tratamiento es realizado.
ENISA nos plantea un problema que análogamente se puede llegar a extrapolar a otros sectores, ¿cómo compartimos de forma selectiva los datos generados por un dispositivo?. La configuración de los accesos no tiene por qué basarse exclusivamente en la identidad de aquel que desea acceder, sino que su parametrización puede pasar por otros criterios, como también en parámetros adicionales, como el período de tiempo de esos datos, aunque esta fórmula tiene limitaciones en términos de eficacia cuando hablamos de muchos actores y grandes volúmenes de datos.
Para superar este obstáculo, se acude a los cifrados basados en atributos, como el de identidad difusa, que son cifrados asimétricos en el que los datos se cifran con una clave pública maestra, pero en donde coexisten más de una clave de descifrado, vinculado a pequeñas piezas de información adicional relacionada con los datos, que se denominan atributos.
Volviendo al ejemplo, los datos del usuario son generados por su dispositivo y se asignan a objetos que describen atributos específicos relacionados con ellos, como por ejemplo la fecha de origen. Con estos se define posteriormente el mecanismo de control de acceso a los datos a través de una política. Posteriormente, los datos se cifran con la clave maestra y se almacenan.
Cuando un tercero solicita acceso a esos datos, la política especifica qué propiedades exactas, en función de esos atributos definidos, deben cumplir para conceder acceso. Siguiendo con el ejemplo, se le puede solicitar el año, el destinatario y los archivos o datos a acceder. Finalmente, el tercero recibirá la clave de descifrado.
Esta técnica no está libre de contras, puesto que requiere un etiquetado de los datos desde las primeras fases y esto no puede ser siempre posible ni sencillo. Además, la política debe ser robusta.
Otra técnica es la re-encriptación por proxy, también de encriptación asimétrica, que permite volver a encriptar un conjunto de datos ya encriptados de una clave pública a otra, sin que el proxy tenga acceso al conjunto inicial no encriptado.
En cualquiera de estas dos técnicas, en el caso de que pase por la nube, el proveedor de servicios sí recopilará información relacionada con los datos de dichas transmisiones.
Otro escenario típico es la gestión del Historial Clínico Electrónico por parte de los profesionales de atención médica. Para ello el centro médico debe implementar mecanismos de control de acceso para usuarios internos y externos, de modo que cuando los datos se vayan a compartir con investigadores, se deben implementar las salvaguardas adecuadas que, en un escenario típico, incluyen técnicas de seudonimización para evitar la divulgación de la identidad de los pacientes a los destinatarios.
Para ello, se propone el uso del cifrado polimórfico, cuya ventaja es que los datos personales se pueden cifrar de tal forma que no es necesario fijar a priori quién puede descifrarlos. Este proceso se puede llevar a cabo a través de un tercero de confianza, revistiendo de mayor robustez la confidencialidad. Además, a cada individuo se le pueden asignar diferentes seudónimos para cada tercero que solicita acceso, evitando la identificación indirecta entre múltiples terceros.
Además de los supuestos en los que una entidad comparte datos directamente con otra entidad, destinataria final de los datos, también hay casos de transmisión como parte de otro proceso o servicio que no es transparente de cara a los usuarios (y, en ocasiones, tampoco para la propia entidad), como el envío y notificación de alertas móviles en el que intervienen editores (Servidor de aplicaciones), terceros (Agente de notificación), el sistema operativo a través de la API y la propia aplicación móvil.
Una solución a dicho problema pasaría por el uso de Protocolos de Notificación Anónimos a través del enrutamiento por proxies, permitiendo el envío de notificaciones a los usuarios sin que los nodos intermediarios conozcan ni al remitente original ni al destinatario final.
Una segunda opción pasa por el cifrado de extremo a extremo en el que el proveedor de la aplicación utiliza la clave pública del usuario y cifra el contenido del mensaje que se envía. Aunque el mensaje todavía pasa por el intermediario, este no puede descifrarlo, por lo que simplemente entrega los mensajes de notificación. Cuando el usuario recibe la notificación, puede usar su clave privada para descifrarlo y leer el mensaje enviado, aunque podría observar los metadatos y aprender sobre estas interacciones entre las otras dos entidades.
Una tercera opción pasa por no incorporar datos personales en las notificaciones, lo que se basa en una política diseñada por defecto, bastando con notificar al usuario que existe una actualización o que tiene un mensaje.
Por último, la guía hace alusión a la autenticación, que es un factor clave para acceder a servicios. ENISA pone el punto en que haya casos en los que la única exigencia está vinculada a criterios específicos, como la edad, que actualmente pasa por autodeclaraciones sin validación alguna. En este caso, por tanto, la idea pasaría por cómo obtener los datos mínimos necesarios para permitir la autenticación sin revelar información adicional.
La opción más prometedora pasa por un tercero de confianza y una autenticación basada en atributos, como serían las prueba de conocimiento cero. Sobre esta base, para que un menor de edad accediera a la página web de una bodega, no tendría que revelar su identidad completa, pues el tercero de confianza sólo le comunicaría a la web si tiene más o menos de 18 años.
En definitiva, la estrategia a tomar en lo que a la protección de datos personales se refiere es un elemento integral en la confianza que deben tener personas y organizaciones en el desarrollo de los ecosistemas de intercambio de datos, debiendo revisarse periódicamente y cada vez que las circunstancias se vean modificadas sustancialmente, lo que desde luego pasará cuando la computación cuántica se asiente.
