¿Qué son las PET y cómo ayudan a automatizar la privacidad en las organizaciones?

Sin embargo, diferentes organismos y autoridades han trabajado en el estudio de estas tecnologías, dando diversas definiciones sobre las PET. En este sentido, la autoridad de protección de datos de Reino Unido, Information Commissioner’s Officer (ICO), ha publicado recientemente una Guía sobre la anonimización, seudonimización y uso de las PET (Draft anonymisation pseudonymisation and privacy enhancing technologies guidance), que, aunque se encuentra en proceso de consulta y por lo tanto se trata de un borrador, define las PET como tecnologías que encarnan los principios fundamentales de la protección de datos al minimizar el uso de datos personales y maximizar la seguridad de los datos y/o capacitar a las personas, abarcando muchas tecnologías y técnicas diferentes.

Por su parte, la propia Agencia Ciberseguridad de la Unión Europea (ENISA) se ha referido a las PET como sistemas que engloban procesos, métodos o conocimientos técnicos para lograr una funcionalidad específica de protección de la intimidad o de los datos de las personas físicas.  En este sentido, ENISA lleva años trabajando en promover un uso unificado de las PET, publicando diferente documentación sobre su análisis, llegando a crear una herramienta que permite realizar la evaluación de idoneidad de las PET. Una evaluación que es necesaria antes de implementar y poner en uso las PET dentro de una organización.

¿Qué clases de PET existen?

Ahora bien, para entender qué pueden aportar las PET a las organizaciones y cómo ayudan al cumplimiento normativo de protección de datos, es necesario conocer que existen diferentes tipos de PETs. Si bien a lo largo del tiempo diferentes entidades u organizaciones han desarrollado diversidad de clasificaciones de PETs, por ejemplo, en opacas y transparentes según The European Project on the Future of Identity in the Information Society (FIDIS), Privacy Protection y Privacy managment, de la mano del grupo Meta, entre muchos otros, lo cierto es que en la actualidad no existe una clasificación estandarizada en base a unos criterios homogéneos.

Si nos centramos en la información que ahora incluye la ICO en este documento, existen diferentes tipos de PET que pueden ayudar a cumplir con la protección de datos personales, en especial con el principio de protección de datos desde el diseño y por defecto, entre las que se destacan las siguientes:

• Reducir la identificación de las personas a las que se refieren los datos que se están tratando, mejorando así el cumplimiento del principio de minimización de datos, recogido en el RGPD. Algunos ejemplos son la privacidad diferencial o los datos sintéticos.
• Ocultar y proteger los datos, favoreciendo el cumplimiento de las medidas de seguridad, como es el caso de la encriptación homomórfica o las pruebas de conocimiento cero.
• Dividir o controlar el acceso a los datos personales, minimizando la cantidad de datos compartidos y garantizando la confidencialidad e integridad de la información, sin que ello afecte a la utilidad y exactitud de los datos. Por ejemplo, los entornos de ejecución de confianza (TEE por sus siglas en inglés: Trusted Execution Environment), el cálculo multipartito seguro (SMPC por sus siglas en inglés: Summary of product characteristics), entre otros.

¿Qué beneficios pueden aportar a las organizaciones?

Las PET pueden ayudar a demostrar el cumplimiento de la protección de datos desde el diseño y por defecto, ya que favorecen la garantía de principios y obligaciones que son pilares básicos del RGPD:

• El cumplimiento con el principio de minimización de datos, garantizando que solamente se traten datos personales adecuados a las necesidades y fines del tratamiento.
• Proporcionar un nivel de seguridad del tratamiento de los datos adecuado a los fines y a los riesgos asociados a dicho tratamiento, siempre teniendo en cuenta la previa evaluación de impacto que determine si las PET son adecuadas o no para cumplir los objetivos perseguidos.
• Aplicar soluciones sólidas de seudonimización y anonimización. En este sentido, es esencial entender que las PET y la anonimización son conceptos distintos, aunque estén relacionados. Existen tecnologías PET que permiten cumplir con la anonimización, pero no todas las PET dan lugar a una anonimización efectiva, y se puede conseguir la anonimización sin utilizarlas.
• Minimizar el riesgo que se deriva de las violaciones de datos personales, haciendo que los datos personales sean ininteligibles para cualquier persona no autorizada a acceder a ellos.

Cuáles son los riesgos asociados de las PET

Aunque es indudable que los beneficios que comportan las PET son innumerables, no se debe perder de vista que al ser nuevas tecnologías que apoyan el cumplimiento normativo, en este caso de protección de datos, pueden comportar ciertas debilidades ligadas a la falta de madurez, experiencia en su configuración u otros derivados del uso de la tecnología en general como pueden ser ataques o vulnerabilidades. Para ello, además de probar su eficiencia, se deberá velar por que las medidas de seguridad que tengan implementadas sean adecuadas y sigan las mejores prácticas del mercado.

Además, la guía de la ICO propone determinar la madurez de las PET, por ejemplo, a través de los niveles TRL (Technology readiness levels) de preparación tecnológica. De igual modo la ENISA también ha trabajado en este tema, e incluso ha publicado unos papeles de trabajo para evaluar dicha madurez.

Implementación de las PET en las organizaciones

Otra de las dificultades a las que se puede enfrentar este tipo de tecnología es la implementación efectiva partiendo de modelos teóricos. Para ello la organización deberá evaluar las capacidades internas de sus equipos de tecnología de cara a valorar si es viable abordar la PET a través de un desarrollo interno o por su parte valorar productos o herramientas en el mercado que puedan cubrir las expectativas.

Además, cabe mencionar que es recomendable que los equipos que se vean impactados por la PET o que vayan a trabajar con esta sean partícipes del proyecto y, en el momento de su puesta en marcha, cuenten con un soporte de formación. Así, se evitará que la herramienta de referencia pueda caer en desuso.

Aunque hemos escuchado mucho hablar de esta tecnología y, los beneficios que implica son indudables, es cierto que todavía se observa algo de incertidumbre con respecto a la misma. Es por ello que, por el momento, es un término abierto que puede agrupar numerosos tipos de solución si bien entendemos que este es uno de los paradigmas de la tecnología: la evolución y el cambio continuo.

No obstante, no nos cabe duda de que la automatización de la privacidad mejora notablemente los procesos de protección de datos haciéndolos más eficientes y seguros.