AEPD: Cifrado y privacidad
CIFRADO Y PRIVACIDAD I: cifrado en el RGPD
Se admite el cifrado de los datos personales como un método "eficaz" en cuanto a la protección de estos datos.
• Aunque se produzca un acceso no autorizado a los datos personales, si estos están cifrados, se garantiza el anonimato, ya que no se pueden deducir los datos personales originales que representan.
• El cifrado de datos personales, más allá de que lo establece el artículo 32.1.a) del GDPR, como una medida necesaria para garantizar un nivel de seguridad adecuado al riesgo, es estrictamente recomendable hacerlo, ya que el propio GDPR, en su artículo 34.3.a), la establece como una de las eximentes para no tener la obligación de comunicar una brecha de seguridad de los datos personales a los interesados cuando estos están cifrados, porque los datos personales no se han visto comprometidos.
• Para determinar si el tratamiento de los datos personales para un fin distinto al inicial puede ser compatible, siempre y cuando el tratamiento no esté basado en el consentimiento del interesado o en una obligación legal, se tendrá en cuenta entre otras cuestiones, la existencia de garantías adecuadas, que podrían incluir el cifrado.
No se admite que se pueda disponer de una clave (contraseña) que facilite su descifrado.
• No es admisible el uso de una llave o dejar puertas abiertas que permitan el descifrado de los datos ya que esto conlleva una vulnerabilidad.
• Si existe una clave, esta podría caer en manos de un tercero y, por tanto, se podría acceder a los datos.
Sin embargo, hay que tener presente que la utilización de cifrado no elimina la naturaleza del dato personal, por lo que la información cifrada no es información anonimizada.
https://www.aepd.es/es/prensa-y-comunicacion/blog/cifrado-y-privacidad-cifrado-en-el-rgpd
CIFRADO Y PRIVACIDAD II: el tiempo de vida del dato
No existe ningún algoritmo de cifrado que sea seguro para toda la vida, ya que las tecnologías avanzan, aparecen vulnerabilidades y estos algoritmos se deben ir actualizando, o bien reemplazando.
Teniendo en cuenta esta "caducidad" de los métodos de cifrado, es importante utilizar métodos buenos y que garanticen la seguridad de los datos durante un período de tiempo que será más largo o corto según la categoría o naturaleza de los mismos.
El sistema de cifrado que validemos para utilizar debe estar integrado por defecto en el tratamiento de datos personales desde el diseño de la operación de tratamiento (privacidad desde el diseño y por defecto).
CIFRADO Y PRIVACIDAD III: cifrado homomórfico
En este artículo se menciona un sistema de cifrado que permite trabajar con datos personales sin la necesidad de que haya un descifrado por medio. Es decir, los datos que como usuarios visualizamos estarían descifrados para poder entenderlos, pero los datos con los que trabajaría la máquina no se deberían descifrar.
El cifrado homomórfico es una técnica que permite realizar con ET operaciones sobre los datos cifrados y obtener resultados, también cifrados, equivalentes a las operaciones realizadas directamente sobre la información original.
Es una medida muy interesante de Privacidad por Defecto, especialmente para el tratamiento de categorías especiales de datos, al evitar que el encargado acceda al contenido de la información. Además, tiene ventajas operativas, como eliminar la necesidad de establecer una relación de claves entre responsable y encargado, con lo que la gestión del sistema de cifrado no es necesario que se exponga al exterior.
Este sistema todavía no está del todo consolidado y si se hace algún uso es, sobre todo, en IOT (Internet de las cosas) y Machine Learning (inteligencia artificial).
Existe la posibilidad de que cuando este sistema sea muy estable tampoco se utilice para tratar datos de usuarios en app o webs. Esto se debe a que cada sistema de cifrado consume unos recursos y esto podría hacer que repercutiera en un coste que no sería nada rentable, ya que como se dice en el segundo artículo, hay métodos de cifrados más o menos adecuados según la necesidad que tengan que cubrir.
https://www.aepd.es/es/prensa-y-comunicacion/blog/cifrado-privacidad-iii-cifrado-homomorfico