La sanitización de la información confidencial, una necesidad de todos

Artículo escrito por A. Rivas-Vásquez (Socio), Mª Victoria Fernandez (Directora) e Irene Blasco (Senior Manager), Forensic, KPMG España.

Aunque el verbo “sanitizar” no está incluido aún en la RAE, su reciente popularidad, sobre todo en la jerga informática, ha hecho que ya se contemple en el Observatorio de Palabras. Y es que a raíz de los diversos ciberataques que han afectado recientemente a empresas españolas e internacionales, “sanitizar” los datos se ha convertido en prioridad para las compañías. Pero ¿a qué nos referimos con esto? A esta pregunta respondimos en el webinar ‘Tecnología en el sector jurídico. Sanitización de documentos confidenciales’, con KPMG y Blackout, en el que abordamos este tema desde diferentes ángulos, abarcando necesidades tan amplias como procedimientos judiciales, así como actividades de compra y venta de negocios.

En este sentido, lo primero a tener en cuenta es que el objetivo de la sanitización de documentación electrónica es proteger toda información confidencial o sensible que esté incluida en dicha documentación (información estratégica de negocio, clientes, proveedores, etc.), para que no pueda ser leída por personas que, aunque tengan que acceder a la documentación, no estén autorizadas a leer ciertos aspectos confidenciales o sensibles específicos.

Además, cuando hablamos de sanitizar información también usamos otros conceptos como Ofuscar, Ocultar, Anonimizar, Reemplazar, e incluso aplicamos términos del inglés como Redactions. Porque la protección se obtiene mediante la ofuscación o reemplazo de frases, oraciones, párrafos y gráficas, entre otros, que contienen la información confidencial sensible específica. Veamos un ejemplo simple:

Aquí, podemos observar cómo información de carácter personal en el CV de un candidato ha sido ofuscada, manualmente, para ocultar su nombre y apellido, correo electrónico, número de teléfono y foto.

¿Por qué usamos tecnología para sanitizar?

Y es que la necesidad de compartir grandes volúmenes de documentación electrónica es una realidad de muchas empresas Y, para poder atender a estos requerimientos, donde la volumetría y diversidad de formatos suele ser alta, es recomendable utilizar software y servicios especializados. Por ejemplo:

  1. Una disputa comercial donde es necesario presentar las hojas de tiempo de empleados para demostrar su dedicación a un proyecto, sin por ello desvelar sus nombres y/o salarios individuales.
  2. Un litigio internacional (civil o penal) con requerimientos de Discovery and Disclosure, donde hay documentación que responde a palabras claves establecidas entre las partes pero que contiene información sensible o confidencial.
  3. Un procedimiento judicial derivado de una denuncia, donde es necesario proteger la identidad del denunciante en diferentes escritos o evidencia aportada.
  4. Un proceso de compra/venta, por ejemplo de una cartera de hipotecas donde se comparte información que incluyen datos personales de clientes.

Los riesgos de no sanitizar la documentación: reputacional, regulatorio y comercial

La volumetría y complejidad de sanitizar la documentación de cada uno de estos ejemplos puede variar. Sin embargo, los riesgos que puedan materializarse si no sanitizamos adecuadamente la información son relativamente similares: reputacional, regulatorio y comercial.

Un software y servicio especializado nos permite afrontar estos requerimientos con mayor exactitud. No solo nos permite ofuscar, sino también encontrar los datos. Por ejemplo, identificando patrones estándar de:

  1. Nombre y Apellidos (usualmente con diccionarios)
  2. Dirección de correo
  3. DNI
  4. Teléfono
  5. Tarjeta de Crédito

También es posible aplicar Machine Learning para que el software aprenda con documentos base. Por ejemplo, mediante algoritmos de interpretación de lenguaje natural podríamos enseñar a la maquina a identificar frases o conceptos. Una vez identificados estos podemos aplicar técnicas de ofuscación como las aplicadas en el ejemplo del CV (lustración 1) de forma automática en cada uno de los documentos en el alcance.

¿Cómo funciona?

En nuestra experiencia, la sanitización puede ser un proyecto o programa continuo, que siempre se regirá por las siguientes directrices:

  • Diagnóstico: identificación del requerimiento, medidas necesarias, volumetría y complejidad, con una visión sobre la mejor solución.
  • Planificación: atendiendo al resultado del diagnóstico, tomamos en cuenta recursos (software y personas), así como la propia parametrización de las herramientas.
  • Ejecución: incluye la captura de datos origen, procesamiento, de-duplicado, OCR (conversión de imagen a texto), indexado, entre otros.
  • Quality Check: basado en muestra o el total de la población según el plan de ejecución.
  • Distribución: transmisión o hosting segura de la información sanitizada. Por ejemplo, en una plataforma de eDiscovery o en un eDataRoom.

Como ya hemos mencionado, la automatización de estas tareas es posible con herramientas de software que permiten directamente procesar y preparar las “Redactions”. En el espectro más de nicho, nos encontramos soluciones que se especializan únicamente en esta funcionalidad, aumentando significativamente la capacidad de plataformas eDiscovery.

En definitiva, la sanitización de información confidencial o sensible en grandes volúmenes de documentación electrónica se ha convertido a día de hoy en algo necesario en materia de privacidad y protección de datos y es posible de forma precisa y segura gracias tecnología.

Con ella, podemos reconocer y anticipar los riesgos reputacionales, regulatorios y comerciales, crucial ya no solo en procedimientos judiciales, sino también en actividades cotidianas del negocio.