Thinking about Data Center Solutions

Los ingenieros de La Salle-URL comparten las últimas novedades y proyectos en el campo de las soluciones de red en ingeniería telemática.

25 Febrero 2021 | Publicado por userDataCenter

Tratamiento de Datos Personales

En esta publicación, se abarcará un problema presente en lugares donde el flujo y la acumulación de datos es mayor (CPDs). Se dará información relativa al proceso de la Anonimización de datos personales, y se ofrecerá una perspectiva jurídica que incluirá un apartado histórico.

Datos Personales

Se ha hablado mucho de los centros de datos como infraestructura cuyo objetivo es almacenar datos, que pueden ser de todo tipo, pero, la gente desconoce que, la mayoría de estos datos, son considerados personales. Cuando un dato es personal, se le ha de aplicar un proceso bastante complejo con tal de garantizar su integridad y anonimización, ya que estamos hablando de uno de los Derechos Fundamentales de las Personas. Este proceso, se puede tratar desde una perspectiva jurídica y técnica, ya que los algoritmos de anonimización y tratamiento de los datos, vienen especificados por el Reglamento de la UE 2016/679.

¿Qué es un Dato Personal?

España, al ser un Estado miembro de la UE, ha de cumplir con todos los dictámenes y reglamentos que ésta impone.  En el artículo 4 del Reglamento 679 de la UE, se ofrece un concepto descriptivo de lo que es un dato personal. Se considera dato personal, a aquella información de la persona física que permita individualizarla e identificarla (se la denomina “el interesado” en el Reglamento). Además, se establece que, para considerar a una persona identificable, se hará mediante medios conocidos como el número de identificación (DNI o pasaporte en España), datos de localización (domicilio o residencia), identificador de línea (dirección IP pública), el propio ADN como identificador genético y, otros más.

Dicho esto, vemos que cualquier dato que pueda relacionarse con una persona es un dato personal. Dejar claro, que una imagen, un audio e incluso un vídeo, entran dentro de esta categoría. Si nos fijamos bien, veremos que tenemos muchas cosas que pueden identificar a una persona, por lo que tienen que existir fronteras en cuanto a estos datos. En este caso, este mismo artículo, recopila la forma de procesar los datos y las prohibiciones que deben ser acatadas (opiniones políticas, convicciones religiosas, afiliaciones sindicales, datos biométricos, etc). Cuando se habla de una prohibición, no se refiere uno al hecho de que los datos no se puedan almacenar, sino a que estos datos han de ser anonimizados, un proceso del que se hablará más adelante.

 

 

¿Cuándo comenzó el interés por la protección de los datos personales?

Si tuviéramos que datar la primera aparición de lo que actualmente entendemos como protección de datos, tendríamos que acudir al año 1948. En concreto, el 10 de diciembre de 1948 cuando, en el seno de la ONU, fue aprobada la declaración de los Derechos Humanos. En el artículo 12 de esta Declaración, se reconoce que no se pueden aceptar injerencias arbitrarias en la vida privada de las personas.

Más tarde, en 1950, con la aprobación del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, la UE comenzó a imponer una serie de regulaciones básicas. Fue aquí, cuando apareció el primer sistema de control y protección realizado mediante el Tribunal Europeo de Derechos Humanos.

Más tarde, en 1967, en pleno auge tecnológico, el Consejo de Europa instituyó una Comisión, cuyo objetivo era examinar e investigar dichas tecnologías y analizar los impactos negativos que se pudiesen dar sobre los derechos individuales.

A raíz de esta aprobación, comenzaron a aparecer leyes estatales como es el caso de la “Ley Federal Alemana de protección de datos (Bundesdatenschutgzgesetz)”, aprobada en 1977 y la de la Ley Francesa sobre informática y libertades, aprobada en 1978.

Si tuviésemos que destacar el Convenio más importante y padre de la actual normativa, deberíamos de acudir al 28 de enero de 1981, fecha en la que fue aprobado el Convenio llamado 108. Este Convenio, formado por 27 artículos, establece los principios básicos para el tratamiento de “Datos Sensibles”. Es interesante fijarse en el hecho de que aún no se habla de Datos Personales. No será hasta principios de los años 90, cuando se usará el termino de datos personales.

La normativa actual, se recoge en el Reglamento 679/2016, adaptado en España mediante la Ley Orgánica 3/2018 donde, como bien se ha dicho antes, encontramos la primera descripción de Dato Personal.

¿Cómo se tratan estos datos?

Se ha hablado mucho de la parte jurídica en cuanto al tratamiento de datos en los centros de procesamiento (CPD), pero, interesa centrarse en la parte de cómo se garantiza la integridad de estos datos, con el proceso conocido como la Anonimización.  Este proceso, requiere del cumplimiento de 3 requisitos.

  1. Aislamiento: Los registros por los que se ha obtenido la información deben quedar totalmente separados del resto de información.
  2. No vinculación: Ha de ser imposible vincular la información obtenida con los registros que aportan la identificabilidad.
  3. No inferencia: No se ha de poder identificar al interesado en base a los datos.

Una vez que se cumplen estos requisitos, pasamos a las 13 fases que comprenden este proceso. Estas fases, vienen impuestas por la Agencia Española de Protección de Datos, situada en Madrid.

 

 

De estos 13 puntos, he querido hacer una especial referencia al séptimo punto, ya que habla sobre las técnicas que garantizan la integridad de estos datos.

  1. Algoritmo Hash: Según la AEPD (Agencia Española de Protección de Datos), los algoritmos hash son un mecanismo que generan una clave que puede utilizarse para representar unos datos.
  2. Algoritmo de Cifrado: Según la AEPD, son algoritmos que permiten realizar operaciones con los datos cifrados de tal manera que el resultado de las operaciones es el mismo que si las operaciones se hubiesen realizado con los datos sin cifrar.
  3. Sello de Tiempo: Este sistema es complementario al resto, ya que busca establecer una fecha y hora exacta en la que se ha realizado la anonimización de los datos
  4. Capas de anonimización: Al igual que el anterior, es un sistema complementario que, mediante la incorporación de capas, garantiza la privacidad de los datos anonimizados.
  5. Perturbación de datos: Según la AEPD, son sistemas que consisten en una supresión sistemática de datos, evitando así, que las cifras resultantes faciliten información sobre casos específicos.
  6. Reducción de Datos: Este proceso, se encarga de eliminar datos innecesarios que no tienen relevancia en el resultado final, facilitando así, la aplicación de las otras técnicas

Autores: Rafael Gómez Tur & Alba Neamtu Llobregat

Share

Añadir nuevo comentario

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.
5 + 5 =
Resuelva este simple problema matemático y escriba la solución; por ejemplo: Para 1+3, escriba 4.