En Comprender la protección de datos: el reglamento de la UE en pocas palabras, laintegridad (junto con la exactitud) estaba motivada por el hecho de que la exactitud de los datos es necesaria para que sean aptos para los fines declarados. Cualquier tratamiento que no sea apto para la finalidad no puede justificar una ganancia de poder sobre un sujeto de datos. Para más detalles, véase Prohibición del tratamiento no adecuado a la finalidad. La confidencialidad, en cambio, está motivada por la limitación del acceso al poder. Véase 1.6.5.3 Limitación del acceso al poder para más detalles. La disponibilidad estaba motivada por la protección de los bienes del interesado. Véase 1.6.6 Protección del patrimonio del interesado para más detalles.
El RGPD define el principio de la siguiente manera:
Definición en el Art. 5(1)(f) del RGPD:
Los datos personales se tratarán de forma que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales, utilizando las medidas técnicas u organizativas adecuadas (“integridad y confidencialidad“). |
La estructura del Art. 5(1)(f) y los riesgos de seguridad
Lo que se desprende de la redacción del art. 5(1)(f) es que el RGPD habla de hechos no deseados, a saber:
- el tratamiento no autorizado o ilegal, y
- pérdida, destrucción o daños accidentales.
Evidentemente, estos sucesos no forman parte del tratamiento previsto; lo ideal sería evitarlos por completo. Dado que en materia de seguridad esto nunca es posible con un 100% de certeza, existe una probabilidad residual de que estos eventos se produzcan.
También es evidente que los sucesos de este tipo tienen consecuencias indeseables.
Los lectores familiarizados con la seguridad informática habrán reconocido que en este debate se han introducido los elementos utilizados en la definición de riesgo. Esto se hace explícito en lo que sigue:
Riesgo de seguridad = probabilidad de que se produzca un acontecimiento indeseable * gravedad de las consecuencias indeseables |
Se trata de un riesgo “individual” y el riesgo total es entonces una suma sobre todos los riesgos individuales aplicables.
Los lectores atentos habrán observado que la terminología utilizada aquí difiere un poco de la habitual en seguridad[1] informática. En concreto, se ha utilizado el término “riesgo para la seguridad”, en lugar de simplemente “riesgo” y, del mismo modo, se ha utilizado “gravedad de las consecuencias indeseables” en lugar de “daños”. La motivación de esta elección de términos se explica a continuación:
Principal diferencia con otros riesgos del RGPD y con los riesgos de la seguridad informática
El RGPD se refiere al menos a dos tipos de riesgo fundamentalmente diferentes (pero sin hacer esta distinción explícita). Por ello, a continuación, se introducen dos términos diferentes para explicitar esta distinción. Se trata del riesgo de seguridad y del riesgo de protección de datos.
En el RGPD, el riesgo de seguridad está implícito en los artículos 5.1.f) y 32. Como se desprende de la subsección anterior, su definición se deriva de la existencia de acontecimientos indeseables que no forman parte de las operaciones de tratamiento previstas.
Por el contrario, el RGPD también considera claramente los riesgos derivados del propio tratamiento de los datos -en ausencia de cualquier acontecimiento indeseable-, es decir, durante un tratamiento no perturbado según lo previsto. A este tipo de riesgo lo llamamos riesgo de protección de datos. Está presente, incluso si la seguridad fuera perfecta y todos los posibles acontecimientos indeseables pudieran evitarse con un 100% de certeza.
Por lo tanto, es importante entender que los riesgos de seguridad son sólo un subconjunto de los riesgos que los controladores están obligados a mitigar mediante la aplicación de medidas técnicas y organizativas adecuadas.
Tras distinguir los riesgos de seguridad de los riesgos de protección de datos, comparemos los riesgos de seguridad del RGPD con los de la seguridad informática. Dado que su definición, que figura en el recuadro de la subsección anterior, tiene la misma estructura, ¿se puede concluir que los riesgos de seguridad del RGPD son los mismos que los de la seguridad informática?
Esto apunta a la elección del segundo término, es decir, la gravedad de las consecuencias indeseables en lugar de los daños.
En la seguridad informática, el daño es una cuantificación de las consecuencias indeseables en comparación con la misión y los valores de la organización que opera la actividad de procesamiento. Suele cuantificarse en términos de valor monetario, en consonancia con una organización cuya misión es producir beneficios.
En marcado contraste con esto, se encuentra la gravedad de las consecuencias indeseables inherentes al principio de integridad y confidencialidad del RGPD. Esta medida se refiere a los derechos y libertades de las personas físicas tal y como se recogen en la Carta Europea de Derechos Fundamentales. Así pues, el efecto indeseable puede consistir en impedir o negar el libre ejercicio de los propios derechos y libertades[2]. Estos efectos no suelen poder medirse en términos de valores monetarios. También suele ser imposible cuantificarlos, y sólo pueden expresarse en una escala de medición ordinal (por ejemplo, la que consiste en bajo, medio y alto).
Así pues, la diferencia entre la seguridad informática y la seguridad según el art. 5(1)(f) del RGPD es la evaluación de las consecuencias indeseables, aunque los acontecimientos indeseables puedan ser los mismos. En muchos casos, un suceso que sólo tiene consecuencias menores para la misión de la organización del responsable del tratamiento, puede infligir una grave interferencia en los derechos y libertades de un individuo afectado (y viceversa).
Objetivos de protección inherentes al Art. 5(1)(f)
El RGPD denomina este principio definido en el art. 5(1)(f) únicamente integridad y confidencialidad. Se trata de dos de los tres objetivos de protección conocidos de la seguridad informática. El tercero es la disponibilidad. Esta trinidad de objetivos de protección suele denominarse simplemente con el acrónimo CIA.
Aunque el nombre del principio recogido en el RGPD parece sugerir que se excluye la disponibilidad, tanto la redacción exacta del art. 5(1)(f) y el art. 32 “Seguridad del tratamiento” sugieren lo contrario. En particular:
- la expresión “protección contra pérdidas accidentales” puede asociarse claramente a la disponibilidad, y
- El art. 32(1)(b) obliga a los responsables del tratamiento a “garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento”.
La resiliencia se nombra aquí como cuarto objetivo de protección. También se acepta claramente como un objetivo de la seguridad informática, a menudo tratado como un aspecto de la disponibilidad.
En conclusión, el art. 5(1)(f) del RGPD hace referencia a todo el espectro de objetivos de protección conocidos de la seguridad informática. Aquí se analizarán todos ellos sin restringir la discusión a sólo los dos que forman parte del nombre del principio.
Para un debate en profundidad, véanse las publicaciones de la ENISA sobre el tema[3][4]. A continuación, sólo se ofrece una breve descripción de cada objetivo de protección.
Integridad
La integridad se refiere al aspecto del Art. 5(1)(f) que exige la protección de los datos personales “contra los daños accidentales”, por ejemplo, debido a un error de transmisión. Por lo tanto, pretende evitar cualquier tipo de acontecimiento que pueda “corromper” los datos de forma que los haga inviables para los fines del tratamiento.
Confidencialidad
La confidencialidad se refiere al aspecto del Art. 5(1)(f) que exige la protección de los datos personales “contra el tratamiento no autorizado o ilícito”. Es importante señalar que, en el RGPD, el tratamiento también incluye la divulgación de los datos (véase el artículo 4 (2) del RGPD). Por tanto, la confidencialidad exige proteger los datos personales de una divulgación no deseada mientras están en reposo, en tránsito y en uso[5]. Además, exige que ninguna persona no autorizada pueda interactuar con la operación de tratamiento, por ejemplo, introduciendo decisiones que afecten a una persona, modificando o borrando datos personales, o desencadenando cualquier otra operación que esté reservada al personal autorizado que trabaje según instrucciones precisas del responsable del tratamiento.
Disponibilidad, resistencia y portabilidad
La disponibilidad se refiere al aspecto del art. 5(1)(f) que exige la protección de los datos personales “contra la pérdida o destrucción accidental”, por ejemplo, debido al fallo de un componente de almacenamiento.
La capacidad de recuperación parece estar definida en el art. 32(1)(c) como “la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico”. Por lo tanto, es claramente un aspecto de la disponibilidad y está relacionado con la conocida medida de recuperación de desastres.
Podría decirse que otro aspecto de la disponibilidad es la portabilidad de los datos, tal como se define en el Art. 20 del RGPD. Mientras que la disponibilidad suele entenderse como la protección de los interesados contra la pérdida de sus datos mientras son tratados por un determinado responsable del tratamiento, la portabilidad de los datos protege a los interesados contra la pérdida cuando pasan de un responsable del tratamiento (por ejemplo, en calidad de proveedor de servicios) a otro. La portabilidad implica que los interesados puedan obtener sus datos en un formato legible por máquina (véase el art. 20(1) del RGPD) y, si es posible, transmitirlos directamente de un responsable del tratamiento a otro (véase el art. 20(2) DEL RGPD).
- Véase, por ejemplo, https://en.wikipedia.org/wiki/IT_risk#Measuring_IT_risk (última visita: 19/05/2020). ↑
- Felix Bieker, Benjamin Bremert, Identifizierung von Risiken für die Grundrechte von Individuen, en : ZD, 2020, p. 7 y ss. (en alemán, resumen en inglés). ↑
- ENISA, Directrices para las PYME sobre la seguridad del tratamiento de datos personales, 27 de enero de 2017, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing (última visita: 19/05/2020). ↑
- ENISA, Manual de seguridad en el tratamiento de datos personales, 29 de enero de 2018, https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing (última visita 19/05/2020). ↑
- El art. 32(2) del RGPD utiliza la expresión “transmitidos, almacenados o tratados de otra manera”. ↑