Blog

Ciberseguretat

cifrado de datos y RGPD

El Xifratge com element de seguretat

8 març, 2021

El Xifratge és un element fonamental en la seguretat de les dades, que apareix regulat en el RGPD com una mesura per a mitigar els riscos inherents al tractament.

En concret el Considerant 83 del RGPD estableix que per a mantenir la seguretat i evitar que el tractament infringeixi el que es disposa en el present Reglament, el responsable o l’encarregat han d’avaluar els riscos inherents al tractament i aplicar les mesures necessàries per a mitigar-los, com el xifratge.

De la mateixa manera, l’article 6.4 del RGPD en la lletra e) fa referència a l’existència de garanties adequades, que podran incloure el xifratge o la seudonimització.

Com veiem el RGPD contempla clarament el xifratge com a mesura per a garantir la seguretat de les dades, però tècnicament el Xifratge, què és?.

Probablement si li preguntem a un especialista informàtic, ens dirà que el xifratge és la conversió d’un format llegible a un format codificat que només poden llegir o processar després d’haver-los desxifrat.

D’aquí ve que pugui mantenir-se la confidencialitat de la informació transmesa mitjançant un procés de xifratge.

Seguint amb el RGPD, veiem que contempla també el xifratge en casos de bretxes de seguretat.

Així l’article 34 *RGPD sobre comunicació d’una violació de seguretat estableix en el seu apartat 3 que, la comunicació no serà necessària si es compleix alguna de les condicions següents, i entre elles assenyala: Quan el responsable del tractament ha adoptat mesures de protecció tècniques i organitzatives apropiades i aquestes mesures s’han aplicat a les dades personals afectats per la violació de seguretat de les dades personals, en particular aquelles que facin inintel·ligibles les dades personals per a qualsevol persona que no estigui autoritzada a accedir a ells, com el xifratge.

De la mateixa manera l’article 32.1 a) RGPD sobre seguretat del tractament estableix que “Tenint en compte l’estat de la tècnica , els costos d’aplicació i la naturalesa, l’abast, el context i els fins del tractament, així com riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, el responsable i l’encarregat del tractament aplicaran mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat al risc, que en el seu cas inclogui entre altres: a) la seudonimització i el xifratge de dades personals.”

Finalment, l’AEPD ha manifestat que “l’ús de xifratge és una de les garanties que es poden incorporar en un tractament per a gestionar el risc, en particular quan la comunicació es realitzi a través d’internet, quan les dades personals s’utilitzaran per a un fi diferent d’aquell per al qual es van recollir, com a tècnica apropiada de seudonimització quan s’ha produït una bretxa de seguretat. A més, les aplicacions de xifratge no poden veure reduïda la seva fortalesa per consideracions de seguretat a qualsevol nivell. El xifratge no elimina la naturalesa de dada personal” .

Per tant, és necessari remarcar, com assenyala l’AEPD, que el xifratge no elimina la naturalesa de dada personal. Que la dada viatgi segura, no significa que perdi la seva naturalesa, ja que la dada continua sent identificable pel Responsable del tractament i aquells intervinents que tinguin el codi de xifratge.

Arribats a aquest punt, ens podríem preguntar si qualsevol xifratge és vàlid.

En aquest sentit, l’AEPD ha assenyalat que un paràmetre molt important a l’hora de triar el sistema de xifratge és la fortalesa, és a dir la dificultat o la quantitat de treball requerit per a trencar un sistema criptogràfic. A major fortalesa, major confidencialitat.

És important tenir en compte el temps de vida de la dada segons el RGPD, període de temps en el qual és necessari mantenir el missatge confidencial, per a establir un sistema de xifratge o un altre.

Existeixen diversos mètodes per a codificar i descodificar la informació i aquests evolucionen al mateix ritme que canvien els mètodes d’intercepció de dades i informació. Pel que, per a disposar d’un bon mètode de xifratge haurem d’acudir sempre a un expert enla matèria.

A DATAX som una empresa especialitzada en matèria de protecció de dades i seguretat de la informació.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 16 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

 

Àngels Soler

Delegada de Protecció de Dades

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *