Herramienta de la AEPD para evaluar los sistemas de cifrado

La Agencia Española de Protección de Datos ha lanzado una nueva herramienta llamada “ValidaCripto RGPD”, una solución eficaz para verificar la idoneidad de los sistemas criptográficos implementados en los tratamientos de datos personales, seleccionando en la lista de controles propuestos aquellos que pudieran ser los más oportunos.

Esta herramienta traslada la metodología de las Orientaciones para la validación de sistemas criptográficos en la protección de datos, que comentábamos en esta entrada, elaboradas en colaboración con la Asociación Española para el Fomento de la Seguridad de la Información y la Asociación Profesional Española de Privacidad.

Al igual que las Orientaciones, la herramienta está dirigida a responsables y encargados o subencargados de tratamientos que aplican criptografía en sus tratamientos de datos personales. Además, como indica la AEPD “también está orientada a delegados, asesores y auditores de protección de datos, especialistas en seguridad, y responsables de las entidades responsables o encargadas” y “se aconseja esta guía a desarrolladores de soluciones de cifrado que estén destinadas al tratamiento de datos personales y, en general, a los desarrolladores de productos y servicios de sistemas TIC”.

Como sucede con otras herramientas puestas a disposición por la AEPD, esta herramienta también es gratuita y permite que se ejecute localmente en el navegador, sin necesidad de registrar ni transmitir ningún dato sobre el tratamiento y medidas implementadas a la AEPD.

Además, cuenta con un apartado de ayuda donde se explica su funcionamiento paso a paso, desde la selección del impacto del sistema de cifrado en el tratamiento arriba explicado, hasta la categorización de los elementos más críticos, el repaso de los controles sugeridos, y la generación de una documentación de seguimiento, lo que facilita enormemente las tareas del usuario de la herramienta.

Una vez fijado el nivel de criticidad del cifrado en el tratamiento y otros elementos, la herramienta ValidaCripto RGPD permite a los citados actores evaluar en concreto los elementos del sistema de cifrado como las claves, mensajes, cifrado, suite de cifrado, comunicaciones, receptor, y gobernanza.

Por último, los datos que se introduzcan en la herramienta pueden almacenarse y cargarse en un archivo local, bajo el control total del usuario, y se pueden generar informes sobre los sistemas de cifrada implementados.

En conclusión, tanto las Orientaciones como la herramienta son un punto de partida para la verificación, evaluación y valoración periódica de las medidas de seguridad, centrándose en este caso en el sistema de cifrado, al ser una de las medidas más habituales y complejas implementadas en los tratamientos de datos personales.