La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial

/en , /por

La AEPD publica una guía sobre requisitos en auditorías de tratamientos que incluyen Inteligencia Artificial
rperezm
Mar, 01/12/2021

  • El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial
  • El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de la ciudadanía pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen
  • La Guía está orientada a personas responsables y encargadas que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a personas con funciones de Delegadas de Protección de Datos y a la unidad auditora encargada de evaluar dichos tratamientos
  • Acceso a la Guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial

 

(Madrid, 12 de enero de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado la guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial, un documento que ofrece orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos.

La realización de tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA) para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad. El impacto que podrían tener los tratamientos basados en IA en los derechos y libertades de la ciudadanía pone de manifiesto la necesidad de establecer medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice.

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.

El texto está dirigido, principalmente, a las personas responsables y encargadas que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a las personas responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.

La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática – UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).

Protección de datos y tecnologías emergentes

Este documento complementa a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial de la Agencia, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial. En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.

La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. La persona auditora ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos.

 

Requisitos para Auditorías de Tratamientos que incluyan IA

Protección de datos: Vodafone y su enésima sanción por infringir el RGPD

/en , /por

Con fecha 16 de junio de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador (PS/00139/2020) a VODAFONE ESPAÑA, S.A.U. a razón de los siguientes hechos:

La usuaria (o reclamante) manifiesta que fue titular de un contrato de telefonía fija + fibra línea móvil con Movistar, realizando la portabilidad con Vodafone (o reclamado) en diversas fechas. Posteriormente, en febrero del año 2018 se trasladó de domicilio, y al efectuar una consulta, le manifiestan que en sus sistemas los servicios dados de alta figura como titular su excónyuge. De igual modo, añade la usuaria que en las facturas emitidas por Vodafone aparecen sus datos, pero dirigidas a nombre de su excónyuge.

Ver noticia completa en fuente original: https://www.economistjurist.es/noticias-juridicas/proteccion-de-datos-vodafone-y-su-enesima-sancion-por-infringir-el-rgpd/

Brechas de seguridad: Ransomware y gestión del riesgo

/en /por

Brechas de seguridad: Ransomware y gestión del riesgo
rperezm
Mar, 12/15/2020

El ransomware es una ciberamenaza con gran impacto sobre los datos personales que es bien conocida y cada vez más común. En el marco de la COVID-19, este tipo de ataques están afectando de forma significativa a tratamientos de datos de salud. Los responsables deben implementar medidas concretas, tanto de carácter preventivo como planes de contingencia, para minimizar las consecuencias de estos ataques.

Ransomware

Con relación al ransomware, es necesario que responsables y encargados de tratamiento tomen conciencia del riesgo que estos ataques plantean, y que apliquen medidas técnicas y organizativas apropiadas para afrontarlos. Estas medidas se han de orientar en tres direcciones: intentar evitar su materialización, tener capacidad para su detección temprana y rápida evaluación de las consecuencias y minimizar el impacto sobre los derechos y libertades de las personas cuyos datos personales se hayan visto afectados.

Para cumplir este tercer aspecto ya no es suficiente contar con copias de seguridad u otro tipo de salvaguarda aislada. Cuando la disponibilidad de los tratamientos tiene un gran impacto sobre los ciudadanos se han de establecer planes de continuidad que garanticen la prestación de los servicios a los interesados.

Los planes de continuidad han de dar respuesta a la cada vez más frecuente amenaza de ransomware, pero han de ir más allá. Las organizaciones han implementado sus servicios TIC con estrategias que requieren alta conectividad y multitud de terceros intervinientes. Por tanto, deben tener la capacidad de resiliencia para afrontar no sólo riesgos técnicos, sino también de todo tipo de contingencias que surgen en el contexto del tratamiento globalizado de la información, como puedan ser los cambios políticos, los cambios normativos o la discontinuidad de productos o aplicativos. Todo ello obliga a disponer de un plan de actuación y plan de continuidad de negocio acorde a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades que presentan los tratamientos de datos personales. Estos planes han de permitir dar una repuesta ágil y precisa en un entorno altamente interdependiente, dinámico y cambiante, sujeto a riesgos legales, políticos, del mercado, geoestratégicos y técnicos.

Ransomware -Blog

El ransomware es producto de un entorno altamente interconectado. Esta amenaza es un tipo de malware que impide a una organización el tratamiento de los datos, generalmente cifrando los datos o los sistemas en los que residen, y solicita el pago de un rescate para la recuperación de la disponibilidad de los datos. Se trata de un secuestro de la información, en tanto que quien legitimante debería poder tratarlos, no puede hacerlo.

Un ransomware es por tanto una amenaza no solo a la disponibilidad de los datos personales sino también al servicio que se presta al tratar esa información, lo que puede ocasionar perjuicios para el ejercicio de derechos y libertades de los ciudadanos. Es más, a veces un ransomware no es más que el punto final a otros tipos de incidentes que pueden pasar desapercibidos durante largos periodos de tiempo, como intrusiones en los sistemas de información a través de diferentes vulnerabilidades o malas configuraciones de los sistemas, el compromiso de credenciales de usuario por medio de phishing y/o la obtención de acceso a los sistemas mediante técnicas de ingeniería social. En tal caso, la confidencialidad de los datos personales también se ve comprometida y puede resultar en la venta de estos datos en la dark web. Entre las múltiples variantes, algunos tipos de ransomware tienen como objetivo directamente el robo de contraseñas. Si bien es necesario establecer medidas adecuadas para evitar una brecha de seguridad y en cualquier caso minimizar su alcance, no son menos importantes las medidas técnicas y organizativas que, cuando son adoptadas a priori, permiten reestablecer la disponibilidad de los datos personales. No se trata únicamente de disponer de procedimientos de copias de seguridad, sino de un plan integral para restablecer la disponibilidad de los tratamientos en su conjunto. Estas medidas son clave para asegurar la continuidad de negocio, mejorar la resiliencia y dar cumplimiento a los requisitos de responsabilidad proactiva establecidos en el RGPD.

Todo ello, sin menoscabo de otras obligaciones en el marco de diferentes normativas, así como la obligación de denunciar este tipo de incidentes ante las Fuerzas y Cuerpos de Seguridad del Estado dado que en la mayoría de las ocasiones pueden ser constitutivos de delitos. De esta forma los cibercriminales pueden ser perseguidos. También resulta importante obtener ayuda en la respuesta de los CSIRT de referencia.

Cabe destacar iniciativas como el proyecto No More Ransom! que en determinadas ocasiones puede facilitar la recuperación de los datos cifrados. Pagar el chantaje a los cibercriminales no debe considerarse como una opción posible, pero sí es recomendable guardar la información que ha sido cifrada por si, de aun no estar disponible, en el futuro pueden desarrollarse herramientas que permitan descifrar esta información.

En una época en el que los datos son el nuevo “oro” de las organizaciones, el impacto de una brecha de seguridad de tipo ransomware puede ser enorme y estrategias adecuadas de gestión de riesgos y gobernanza de los datos son claves para determinar con precisión algunos aspectos clave del análisis de una brecha de seguridad de este tipo y que permiten dar una respuesta adecuada, como son:

  • categorías de datos personales afectados
  • número de registros afectados
  • número de personas afectadas
  • tipología de la brecha de seguridad (disponibilidad y/o confidencialidad)
  • En caso de afectar a la disponibilidad, capacidad para reestablecerla sin causar daño o nivel de daño potencial
  • En caso de afectar a la confidencialidad, riesgo real de identificación de las personas y nivel de daño potencial

El responsable de tratamiento debe tener tal control sobre los sistemas en los que realiza tratamientos de datos personales que le permita determinar con agilidad estos parámetros y valorar el nivel de riesgo para los derechos y libertades de las personas.

La capacidad de determinar este nivel de riesgo es clave para poder dar cumplimiento a los requisitos de responsabilidad proactiva establecidas en el RGPD, como entre otros:

  • Obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de los afectados, dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.
  • Obligación de comunicar la brecha de seguridad a los afectados en caso de que sea probable un alto riesgo para sus derechos y libertades. El objetivo de la comunicación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias.

Para la notificación de brechas de seguridad a la autoridad de control, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica. Además, como ayuda a la toma de decisiones sobre la necesidad de comunicar una brecha de seguridad a los afectados, la AEPD tiene publicada la herramienta Comunica-Brecha RGPD.

Puede obtener más información en la Guía para la Gestión y Notificación de Brechas de Seguridad, en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

 

 

Vodafone multada con más de 12 millones de euros por telemarketing ilegal

/en /por

Según publica la asociación contra el SPAM, la operadora de telecomunicaciones VODAFONE ha sido sancionada con 12 millones de euros por prácticas agresivas de telemarketing en llamadas telefónicas no solicitadas (SPAM telefónico) por la autoridad de control en materia de protección de datos de Italia.

Más información en su fuente original: https://asociacioncontraelspam.com/vodafone-multada-con-mas-de-12-millones-de-euros-por-telemarketing-ilegal

Webinario ‘¿Cómo utiliza los datos la Inteligencia Artificial?’ en el ciclo ‘Mujer y ciencia’

/en , /por

Webinario ‘¿Cómo utiliza los datos la Inteligencia Artificial?’ en el ciclo ‘Mujer y ciencia’
rperezm
Mié, 11/25/2020

En el marco de los compromisos de la Agencia en materia de Responsabilidad Social y Sostenibilidad, especialmente en el ámbito de la tecnología y la protección de datos y de la igualdad de género, la AEPD ha promovido un ciclo de debates (webinarios: eventos o seminarios en línea) sobre ‘Innovación y Protección de Datos. Mujer y Ciencia’ con el que pretende abrir un debate riguroso sobre temas de actualidad.

La sexta de las ponencias de este ciclo, que puede verse a continuación, contiene la intervención de Elena González Blanco, General Manager de Europa en insurtech Coverwallet, profesora en el IE de Inteligencia Artificial aplicada a negocio y experta en Transformación Digital e Innovación. Investigadora de prestigio internacional, lidera POSTDATA, un proyecto de investigación europeo de excelencia ERC sobre tecnología lingüística y web semántica. Fue Directora y fundadora del primer Laboratorio de Innovación en Humanidades Digitales en España, y miembro de numerosos comités internacionales.

Elegida nº 1 en 2018 y 3 en 2019 del Ranking Choiseul «Líderes Económicos del futuro de España”, y como una de las Top 100 mujeres de España en 2016, 2017 y 2018 del certamen www.lastop100.com y galardonada con el premio de investigación Julián Marías 2017 para menores de 40 años.

Su conferencia llevará por título ‘Innovación, protección de datos y transformación digital: ¿Cómo utiliza los datos la Inteligencia Artificial?’.

 

Más webinarios del ciclo Mujer y Ciencia

Los webinarios realizados con anterioridad pueden verse aquí:

Webinario VI

La AEPD publica una guía que analiza el uso de nuevas tecnologías en las Administraciones Públicas

/en , /por

La AEPD publica una guía que analiza el uso de nuevas tecnologías en las Administraciones Públicas
rperezm
Jue, 11/19/2020

  • El documento examina cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smart cities
  • La Guía evalúa el impacto que pueden tener estas tecnologías en la protección de datos, poniendo de manifiesto los riesgos inherentes a las mismas, y señala las salvaguardas que deben implementar las AAPP
  • El tratamiento de datos personales por parte de las AAPP tiene un riesgo característico debido a la cantidad de datos recogidos, el volumen de personas afectadas, la imposibilidad de oponerse al tratamiento en muchos casos y el desequilibrio existente entre Administración y ciudadanía
  • La Guía está orientada a personas Delegadas en Protección de Datos de las AAPP pero también es de utilidad para las empresas contratadas por estas, que actúan como encargadas de tratamiento
  • Acceso a la Guía Tecnologías y Protección de Datos en Administraciones Públicas

 

(Madrid, 19 de noviembre de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tecnologías y Protección de Datos en Administraciones Públicas, en la que analiza algunas de las tecnologías que están aplicándose en las AAPP, los riesgos inherentes a su uso en lo relativo a la protección de datos personales y las salvaguardas que deben ser implementadas por estas. La Guía examina cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smart cities. Su contenido se ampliará en versiones sucesivas, extendiéndolo a otras tecnologías específicas.

Los servicios implementados en las AAPP están guiados por el servicio público, si bien el tratamiento de datos personales que realizan tiene un riesgo característico derivado de la cantidad de datos recogidos, el volumen de personas afectadas, la imposibilidad de oponerse al tratamiento en muchos casos y el desequilibrio existente entre Administración y ciudadanía. Las AAPP, como entidades responsables del tratamiento de los datos de los ciudadanía, antes de poner en marcha nuevas actividades de tratamiento o modificar servicios ya prestados, deben identificar los riesgos a los que puede estar expuesto el tratamiento y adoptar las medidas técnicas y organizativas que permitan eliminar o al menos mitigar los daños que pudieran derivarse del mismo para los derechos y libertades de las personas.

En cuanto al cloud computing, con sus indudables ventajas, presenta riesgos como la privacidad de la información almacenada, la continuidad de los servicios, los cambios legales y la pérdida de control de la infraestructura y las aplicaciones utilizadas. En el caso de las AAPP, por el volumen y la sensibilidad de los datos que gestionan, estos riesgos deben ser objeto de un riguroso análisis. No es improbable que en los servicios en la nube se produzcan brechas de seguridad que pongan en peligro la disponibilidad, la integridad o la confidencialidad de los datos personales, con consecuencias para los derechos y libertades de las personas físicas. Un ciberataque, un mal funcionamiento del sistema o un error humano pueden poner en peligro los datos de la ciudadanía. La gestión del riesgo de seguridad de la información no recae de forma exclusiva en la empresa proveedora del servicio que actúa como encargada de tratamiento, sino que corresponde a la Administración determinar las medidas de seguridad que debe de exigir al encargado y que, obligatoriamente, han de quedar reflejadas de forma contractual.

Por otro lado, en la fase de diseño de los tratamientos de Big Data hay que analizar de forma objetiva qué cantidad de datos es necesaria y suficiente, ajustarse al principio de minimización de datos y no adoptar estrategias en las que se recurre a recoger la máxima cantidad posible de datos. La Guía recoge que este problema se puede ver acentuado en el caso de recopilación masiva de datos soportada por sensores en contextos de tratamiento, como los realizados en las Smart Cities. El tratamiento masivo de datos de carácter personal es uno de los supuestos para los que el RGPD exige una evaluación del riesgo, requiriendo la realización de una evaluación de impacto relativa a la protección de datos y, en función del resultado obtenido, de una consulta previa a la Autoridad de Control.

Además, el documento alerta del enriquecimiento de la información de una misma persona con datos de distintas fuentes, lo que puede derivar en nuevas conexiones o matices de su personalidad que por separado no se habrían manifestado. “Es posible incluso que, al cruzar varias fuentes de datos que supuestamente eran anónimas, por agregación de datos, se revele la identidad de personas concretas”, añade. La Agencia recomienda medir, evaluar y gestionar los riesgos de reidentificación, tomando las medidas necesarias para reducir la probabilidad de esa reidentificación, con consecuencias de gran impacto en caso de categorías especiales de datos como los datos médicos, de menores o de personas en condiciones de especial vulnerabilidad.

Parte de estos riesgos también se aplican a las smart cities: “incluso cuando se recogen datos inicialmente anonimizados, la extensión, frecuencia, combinación y enriquecimiento de datos pueden resultar en una reidentificación de las personas”. La Agencia aconseja tomar medidas para mitigar ese riesgo como aplicar técnicas de privacidad diferencial o el empleo de estrategias de agregación de información para evitar correlaciones, a la vez que señala que la instalación de sensores de forma masiva incrementa la probabilidad de que se produzcan fallos de seguridad que también pueden provenir de ataques intencionados. Por tanto, la Agencia recomienda prestar atención al análisis de riesgos de seguridad desde el punto de vista de protección de datos, de forma que ofrezca “las máximas garantías para que no se puedan producir accesos no autorizados que permitan monitorizar a las personas de forma individual o dar lugar un filtrado masivo de datos personales”.

Las personas destinatarias de esta Guía son principalmente las personas Delegadas de Protección de Datos de las AAPP y las empleadas y empleados públicos encargados de promover, gestionar y utilizar estas tecnologías en la Administración, aunque también puede ser útil a empresas que trabajen como encargadas de tratamiento o desarrolladoras de aplicaciones para las AAPP, así como a la propia ciudadanía, para entender cómo les afectan estas tecnologías en los servicios que les presta la Administración.

Guías específicas para ampliar información

Este documento tiene el propósito de exponer algunos aspectos característicos de estas tecnologías con relación a la protección de datos cuando son empleadas por las AA.PP. y que vienen a complementar lo ya establecido en el RGPD, la normativa nacional y sectorial y las guías específicas ya publicadas como la Guía y listado de Cumplimento Normativo, Guía de protección de datos y Administración Local, Código de buenas prácticas en proyectos Big Data, Guía para clientes que contraten servicios de Cloud Computing, Guía sobre el uso de Cookies, Guía de adecuación al RGPD de los tratamientos que incorporen IA, Guía de Privacidad desde el Diseño, Guía de Protección de Datos por Defecto, Guía práctica para el Análisis de Riesgos y Guía práctica para la realización de Evaluaciones de Impacto en protección de datos o Guía para la gestión de las Brechas de Seguridad.

La AEPD publica una guía que analiza el uso de nuevas tecnologías en las Administraciones Públicas

Webinario ‘Smart cities: más allá de la seguridad, la privacidad de los ciudadanos’ en el ciclo ‘Mujer y ciencia’

/en , /por

Webinario ‘Smart cities: más allá de la seguridad, la privacidad de los ciudadanos’ en el ciclo ‘Mujer y ciencia’
rperezm
Mié, 11/11/2020

En el marco de los compromisos de la Agencia en materia de Responsabilidad Social y Sostenibilidad, especialmente en el ámbito de la tecnología y la protección de datos y de la igualdad de género, la AEPD ha promovido un ciclo de seis debates (webinarios) sobre ‘Innovación y Protección de Datos. Mujer y Ciencia’ con el que pretende abrir un debate riguroso sobre temas de actualidad.

La quinta de las ponencias de este ciclo, que puede verse a continuación, contiene la intervención de Sara Degli-Esposti, investigadora Juan de la Cierva en el Instituto de Políticas y Bienes Públicos (IPP) del CSIC, investigadora honoraria en Centre for Business in Society de la Universidad de Coventry (Reino Unido), y profesora en la Escuela Politécnica Superior de la UAM y la Universidad Nebrija. Es Directora Científica e IP del proyecto H2020 sobre desinformación TRESCA y parte del equipo del proyecto Cynamon. Su investigación se centra en cumplimento normativo con las leyes de protección de datos, el tradeoff privacidad-(vigilancia)-seguridad, y la ética y gobernanza de los algoritmos.

Su conferencia lleva por título ‘Smart Cities: más allá de la seguridad, la privacidad de los ciudadanos’.

Más webinarios del ciclo Mujer y Ciencia

Los webinarios realizados con anterioridad pueden verse aquí:

 

Presentación del V Webinario de la AEPD

Cifrado y Privacidad IV: Pruebas de conocimiento cero

/en /por

Cifrado y Privacidad IV: Pruebas de conocimiento cero
rperezm
Mié, 11/04/2020

Cifrado y seguridad

Las pruebas de conocimiento cero o ZKP (del inglés zero-knowledge proof) dan nombre a un conjunto de técnicas que permiten la implementación de dos medidas establecidas en el art. 25 del RGPD: la minimización y la limitación en la accesibilidad a los datos. La particularidad de las ZKP es que permiten demostrar que se dispone de una determinada información sin que se exponga dicha información. Son, por lo tanto, una herramienta para implementar el principio de minimización en contextos distribuidos, como servicios de Internet en general, cloud computing, blockchain, etc.

Supongamos que un usuario de 19 años quiere acreditar que es mayor de 16 años a un servicio de Internet, a través de la red, sin revelar su verdadera edad ni su identidad. Para ello se podría ejecutar el siguiente procedimiento:

  • Ante un tercero de confianza, dicho usuario acredita su edad. El usuario genera un número aleatorio, llamado N, que no tenga que ver con su edad y que guarda de forma confidencial.
  • A partir de ese número se genera otro, denominado PRUEBA, que se obtiene de aplicar sobre N una función hash tantas veces como la diferencia entre la edad actual y la mayoría de edad sumando 1. Es decir:

PRUEBA = Hash 1+edad-16 (N)

En este caso PRUEBA = Hash 4 (N) = Hash(Hash(Hash(Hash(N))))

  • El valor PRUEBA obtenido se almacena en un servidor del tercero de confianza en una dirección accesible desde Internet con una URL construida con valores aleatorios, por ejemplo, URL (XXXX).
  • El usuario conserva el valor N y la dirección URL (XXXX). Mientras, en el servidor del tercero de confianza queda almacenado el valor PRUEBA accesible desde Internet en la dirección URL (XXXX) y desvinculado de la identidad personal del usuario.
  • Más tarde, dicho usuario quiere acreditar ante un servicio de Internet que es realmente mayor de 16 años. Para ello envía al servicio de Internet dos datos:

La dirección URL (XXXX),

Su edad codificada de forma no legible de la siguiente forma: EDADhash = Hash 1+edad(N).

Es decir, no calcula el hash de su edad, sino que realiza el hash del valor N que estableció al principio, pero tantas veces como años tiene el usuario más uno. En nuestro ejemplo, realizaría el hash del valor N que conserva de forma confidencial 20 veces:

EDADhash = Hash 20 (N).

  • El servicio de Internet, haciendo uso de la URL (XXXX) proporcionada por el usuario, consigue el valor PRUEBA allí almacenado. A continuación, a dicho valor le aplica la función hash tantas veces como la edad mínima que hay que demostrar, en este caso 16 años:

VERIFICA = Hash 16 (PRUEBA) = Hash 16 (Hash 4 (N)) = Hash 20 (N) = EDADhash

Por lo tanto, el servicio de Internet (en este caso llamado “verificador”) al comprobar que el valor VERIFICA coincide con el valor EDADhash puede establecer que el usuario (en este caso llamado “probador”) es mayor de 16 años. Esto lo ha conseguido sin que el usuario revele su edad concreta al servicio de Internet, ni sus datos de identidad y sin que dicha información viaje a través de la red. Este es un ejemplo de prueba de conocimiento zero, o ZKP, cuyo funcionamiento se puede comprobar en esta página web.

Blog - Cifrado y privacidad IV -2
Ejemplo práctico del algoritmo tomando como valor inicial N=12345667

El anterior protocolo se puede considerar que es una ZKP porque se cumple con tres requisitos:

  • Completitud (o integridad): si la declaración es correcta el verificador (servicio de Internet en este caso) tiene una seguridad razonable de lo que dice el probador (el usuario) es cierto.
  • Solidez (o robustez): si la declaración es falsa, es muy improbable que el probador pueda engañar al verificador.
  • Conocimiento cero: si la declaración es correcta el verificador no puede inferir información adicional sobre el probador, en este caso el usuario.

Las ZKP se basan en técnicas criptográficas, que a su vez se fundamentan en la utilización de algoritmos y funciones de muy difícil reversibilidad, como pueden ser cifrados, funciones hash o la utilización de aritmética modular. Por lo tanto, son pruebas que permiten dar una certeza probabilista, no absoluta, sobre si la información es correcta o no. A la hora de aplicar una ZKP en el diseño de un tratamiento es necesario evaluar si dicha incertidumbre alcanza valores lo suficientemente bajos para que el riesgo sea asumible en el marco de dicho tratamiento concreto.

Las debilidades de los sistemas ZKP, como el mostrado en el ejemplo, derivan de la diferencia que siempre se va a encontrar entre el concepto teórico y la aplicación práctica. Es decir, el riesgo para los derechos y libertades surge de la distancia que existe entre el planteamiento de algoritmos y procedimientos, y la implementación real de estos en un contexto técnico, organizativo y legal concreto.

La implementación concreta de un sistema como el mostrado podría tener, entre otras, las siguientes debilidades:

  • La vinculación realizada en el tercero confiable entre la URL(XXXX) y la identificación del sujeto.
  • El perfilado que podría realizar el tercero en base a la URL(XXXX) y el conjunto de servicios de Internet que reclaman acceso a la misma.
  • Elección de valores vulnerables en la construcción de la URL.
  • La debilidad en la robustez o aleatoriedad de los valores iniciales, en este caso la semilla inicial N (en otros tipos de ZKP en búsqueda de números primos).
  • Los metadatos asociados a los intercambios de información entre el sujeto, el tercero confiable y, sobre todo, el servicio de Internet.
  • El cruce de metadatos o huella del dispositivo entre distintos servicios de Internet.
  • El análisis de la información de tráfico en el acceso al usuario, tercero y servicios de Internet.
  • El compromiso del terminal del usuario o brechas de seguridad en los servidores del tercero.
  • La falta de aplicación del principio de minimización de datos en los servidores del tercero o los servicios de Internet accedidos.

En definitiva, estas debilidades surgen de la de carencia de una gestión de riesgos para los derechos y libertades más allá del concepto que tenga en cuenta también el diseño y la implementación de los ZKP. Estas debilidades pueden verse a su vez acentuadas por la carencia de acciones de revisión y supervisión (art.24.1 del RGPD), como pueden ser las auditorías, que son imprescindibles en el despliegue y  en la puesta a producción a gran escala y en contextos concretos.

Existen muchos tipos de ZKP y no existe una sistemática en el desarrollo de este tipo de soluciones. Incluso hay métodos de ZKP no vinculado a tratamiento digital y que se emplean para comprender intuitivamente este concepto.

Las ZKP se pueden categorizar en las que son interactivas, o que precisan que para cada verificación se interactúe con el sujeto/probador. También en ZKP no-interactivas (NIZK, ZK-SNARK o ZK-STARK), en las que el servicio/verificador puede comprobar la veracidad por sí mismo, sin necesidad de interaccionar con el probador. Estas últimas son más interesantes por ser más escalables. También es pueden clasificar en aquellas orientadas específicamente para comparaciones, como la comprobación de valores en determinados rangos (Zero Knowledge Range Proofs o ZKRP) o la inclusión en conjuntos (Zero Knowledge Set Membership o ZKSM).

Las ZKP son una herramienta que permiten la implementación de dos medidas establecidas en el art. 25 del RGPD: la minimización y la limitación en la accesibilidad de los datos. Estas medidas hay que implementarlas tanto por defecto como desde el diseño. Las aplicaciones de esta técnica son muy diversas: comprobación de límites de edad, comprobación de condiciones como nacionalidad, voto electrónico, compras, subastas, confidencialidad en las transacciones, análisis de provisiones de fondos, demostrar solvencia financiera, privacidad en blockchain, etc. Como en el ejemplo mostrado, la ZKP no elimina la información personal, de hecho, existe un identificador único, la dirección URL(XXXX), asociada a un sujeto, pero sí pueden ser potentes herramientas de seudonimización.

Finalmente, se aconseja seguir las recomendaciones elaboradas por la AEPD para aplicar los principios de minimización que se pueden encontrar en la página de Innovación y Tecnología, en particular:

 

El Canal INFORMA_RGPD se rediseña para ayudar en sus funciones a los Delegados de Protección de Datos

/en , /por

El Canal INFORMA_RGPD se rediseña para ayudar en sus funciones a los Delegados de Protección de Datos
rperezm
Mar, 11/03/2020

La Agencia Española de Protección de Datos ha rediseñado su canal INFORMA_RGPD, que pasará a llamarse Canal_DPD y que tiene como objetivo canalizar las consultas que plantean los Delegados de Protección de Datos a la Agencia.

El nuevo Canal_DPD da un servicio específico a los Delegados de Protección de Datos del sector público y privado, de designación obligatoria y voluntaria, y previamente comunicados a la Agencia. El número total de entidades que han comunicado su DPD a la AEPD en este momento supera los 63.000.

La AEPD presentó INFORMA_RGPD en febrero de 2018, tres meses antes de la aplicación del Reglamento General de Protección de Datos (RGPD), para ayudar a responsables, encargados y DPDs con la adaptación al nuevo marco normativo. Transcurridos más de dos años de la aplicación efectiva del Reglamento, el Canal INFORMA_RGPD, con cerca de 7.000 consultas atendidas, da por cumplido su objetivo de ayudar y facilitar las tareas de adaptación a la entonces novedosa regulación.

Durante este tiempo la Agencia ha ido presentando una amplia batería de servicios para facilitar la aplicación y el cumplimiento del RGPD. Facilita_RGPD, Facilita_EMPRENDE, Gestiona_EIPD, Comunica-Brecha_RGPD, además de guías, directrices y orientaciones, son algunas de las herramientas y materiales que están a disposición de responsables y encargados para dar soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación de la normativa.

Con este rediseño la Agencia quiere potenciar la figura creada por el RGPD en el marco del principio de responsabilidad proactiva, ofreciendo un servicio más eficaz. Los requisitos y condiciones de uso del Canal DPD se encuentran accesibles en: https://www.aepd.es/es/guias-y-herramientas/herramientas/canalDPD

Comunidad de DPD en el INAP

La Agencia participa también en la comunidad de Delegados de Protección de Datos de las AAPP que está disponible en la plataforma del Instituto Nacional de Administración Pública (INAP), un espacio colaborativo para compartir y discutir experiencias y dudas relacionadas con las funciones asignadas a las personas y equipos que ejercen estas funciones en el ámbito de las Administraciones Públicas.

 

Canal del DPD

La AEPD aprueba el primer Código de Conducta bajo el RGPD

/en , /por

La AEPD aprueba el primer Código de Conducta bajo el RGPD
rperezm
Mar, 11/03/2020

El Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria ha sido presentado por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL)

La Agencia Española de Protección de Datos, en el ejercicio de las funciones atribuidas por el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, ha aprobado el primer código de conducta y acreditado a su organismo de supervisión conforme a lo dispuesto en los artículos 40 y 41 del RGPD y 38 de la LOPDPGDD.  

El Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria ha sido presentado por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL), cuyo contenido principal es el establecimiento de un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para las personas consumidoras.

El RGPD establece que las autoridades de control promoverán la elaboración de Códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

Con motivo de la aprobación del Código de AUTOCONTROL se ha puesto en marcha el Registro de Códigos de Conducta para darles publicidad, conforme establecen los artículos 40.6 del RGPD y 38.5 d la LOPDPGDD.

 

Código de conducta