Datos Personales, Privacidad

Guía sobre Tecnologías para la mejora de la Privacidad

(Privacy-enhancing tecnhologies / PETs)

El Information Commissioner’s Office (ICO) del Reino Unido emitió el documento denominado “Privacy-enhancing technologies” (PETs), que podría traducir la expresión “Tecnologías para la mejora de la privacidad”. Se trata de una guía dirigida a las personas que fungen como oficiales de protección de datos en organizaciones y a quienes utilizan grandes cantidades de datos personales en el campo de las finanzas, el cuidado de la salud, la investigación y en el gobierno.

La Guía PETs se conforma de dos partes: la primera está dirigida a quienes poseen responsabilidades especificas en la protección de datos en grandes organizaciones; la segunda, está dirigida a una audiencia que posee un perfil más técnico, ya que proporciona mayor detalle respecto de los tipos de PETs que se encuentran actualmente disponibles.

En la Guía PETs se abordan, entre otras, las cuestiones siguientes:

¿Qué son las PETs?

La Guía PETs retoma el concepto proporcionado por la European Union Agency for Cybersecurity (ENISA), el cual se transcribe a continuación:

«Soluciones de software y hardware, es decir, sistemas que abarcan procesos técnicos, métodos o conocimientos para lograr una funcionalidad específica de privacidad o protección de datos o para proteger contra los riesgos de privacidad de un individuo o un grupo de personas físicas».

¿Cómo se relacionan las PETs con la protección de datos?

El término “PETs” está vinculado al concepto de “protección de datos por (desde el) diseño”. Según lo expone el documento, las PETs pueden ayudar a:

  • Cumplir con el principio de “minimización de datos”, permitiendo procesar únicamente la información que se necesita para los propósitos establecidos.
  • Proporcionar un nivel de seguridad apropiado de acuerdo al tratamiento de los datos.
  • Implementar soluciones robustas para la anonimización o seudonimización.
  • Minimizar el riesgo que surge de brechas o vulneraciones de datos, haciendo la información ininteligible para cualquiera que no esté autorizado para acceder a ella.

¿Cuáles son los beneficios del uso de las PETs?

Las PETs pueden ayudar a reducir el riesgo hacia las personas, asegurando el cumplimiento de los principios de protección de datos. Por ejemplo, el uso de las PETs puede hacer posible otorgar a las personas el acceso a conjuntos de datos que, de otro modo, sería demasiado sensible compartir, al tiempo que se garantiza que la información de las personas esté protegida.

La determinación respecto a si el uso de una PET específica o la combinación con otras es apropiada para la organización, depende de las circunstancias particulares tanto de la organización como del tratamiento de los datos que se pretenda llevar a cabo.

¿Cuáles son los tipos de PETs que se refieren en la Guía?

  • PETs que derivan o generan información que reduce o remueve la identificabilidad de las personas: Differential privacy y Synthetic data.
  • PETs enfocadas en esconder o blindar datos: Homomorphic encryption, Zero-knowledge proof y Trusted execution environments.
  • PETs que dividen un conjunto de datos, dirigidas a minimizar la cantidad de información personal compartida y a asegurar la confidencialidad e integridad, sin afectar la utilidad y exactitud de la información: Secure multi-party computation, private-set intersection y federated learning.

¿Qué tipos de tratamiento pueden beneficiarse del uso de las PETs?

La Guía identifica una lista no exhaustiva de actividades de tratamiento que pueden representar riesgos a los derechos y libertades de las personas, así como la forma en que las PETs pueden ayudar al cumplimiento mediante la mitigación de estos riesgos.

El ICO recomienda identificar los riesgos en el tratamiento de los datos mediante una evaluación caso por caso (por ejemplo, a través de la elaboración de una evaluación de impacto en la protección de datos). Esto permitirá determinar si las PETs son apropiadas para mitigar dichos riesgos.

Algunos de los tratamientos que podrían beneficiarse del uso de las PETs comprenden aquellos que involucran:

  • Inteligencia artificial, aprendizaje automático (machine learning) y aprendizaje profundo (deep learning).
  • La comparación o coincidencia de datos personales obtenidos de fuentes diversas.
  • Aplicaciones que utilizan el enfoque de Internet de las cosas (IoT).
  • Transferencia de datos entre organizaciones, particularmente en los casos en que compartir datos pueda resultar en un alto riesgo para las personas.
  • Aplicaciones de cómputo en la nube.
  • Anonimización de información personal.

¿Cuáles son algunos riesgos en el uso de PETs?

  • Falta de madurez en términos de su escalabilidad, disponibilidad de estándares y robustez frente a ataques.
  • Falta de experiencia y errores en su implementación y uso, lo cual podría impedir lograr un balance entre privacidad y utilidad.  
  • Falta de medidas organizacionales apropiadas, por ejemplo, algunas PETs pueden asumir que se están utilizando terceras partes confiables. Por tanto, resulta fundamental adoptar garantías adecuadas por parte de la organización, por ejemplo, mediante la adopción de controles contractuales, que incluyan garantías en los procesos de monitoreo y auditoría (cumplimiento de obligaciones legales).

Como se mencionó anteriormente, la Guía expone de manera general en qué consisten algunas de las PETs más conocidas, así como algunos ejemplos de su aplicación.

Fuente de consulta:

Information Commissioner´s Office (Junio 2023), Privacy-enhancing technologies (PETs) (v.1.0.5). Disponible en el vínculo electrónico: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/privacy-enhancing-technologies/