Guía de la AEPD sobre validación de sistemas criptográficos

La Agencia Española de Protección de Datos (AEPD) hizo pública el pasado 10 de mayo la guía sobre orientaciones para la validación de sistemas criptográficos en la protección de datos. Dichas orientaciones, elaboradas en colaboración con la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) y la Asociación Profesional Española de Privacidad (APEP), están dirigidas tanto a los delegados de protección de datos como a los responsables de seguridad.

Si bien el cifrado es una medida ya contemplada en el RGPD así como en la LOPDGDD para la mitigación de los riesgos de seguridad en la protección de los datos, para ser considerada como medida adecuada es necesario que su implementación se ajuste a las características y al impacto del tratamiento. En caso contrario, podría dar la sensación de falsa seguridad al relajar la implementación de otras medidas complementarias y considerar que el cifrado, aun no adaptado al tratamiento, sería suficiente.

El sistema de cifrado puede entenderse como todos los elementos que conforman los procesos de cifrado y descifrado enmarcados en el tratamiento de datos personales: el algoritmo, su implementación, la creación y la gestión del ciclo de vida de las claves, las herramientas, la comunicación y la responsabilidad proactiva.

Una de las claves principales para implementar un sistema de cifrado, de acuerdo con la guía, es determinar desde el diseño los requisitos de fortaleza del criptosistema que son necesarios en el tratamiento y validar que dichos requisitos se están alcanzando de forma efectiva en la implementación de los sistemas de información y en su operativa. Tales requisitos de fortaleza y robustez deben ser establecidos de forma objetiva y proporcional al potencial impacto del tratamiento para los derechos y libertades de los interesados. Por tanto, será fundamental llevar a cabo de forma previa un análisis de riesgos de los tratamientos con la finalidad de valorar el sistema de cifrado adecuado para cada tratamiento. También se deberá tener en cuenta, a la hora de su valoración e implementación, el tiempo de vida del dato con el fin de que ofrezca una protección razonable durante el tiempo que dicho tratamiento va a llevarse a cabo, ya que no se aplicará un mismo sistema de cifrado para aquellos tratamientos que se llevan a cabo durante 1 año que los realizados durante, por ejemplo, 6 años. Por otra parte, a la hora de implementar sistemas de cifrado también se deberá valorar si el mismo se realiza en reposo, en tránsito y/o en cómputo.

Además, indica la guía que el sistema de cifrado debe ser, en todo caso, evaluado, verificado y validado regularmente en el contexto de cada tratamiento, ya que en caso contrario podría no ofrecer las garantías objetivas que se persigue con dicho sistema.

En definitiva, se trata de una guía en la que se incluyen diferentes orientaciones sobre la forma en que deben implementarse los sistemas de cifrado, teniendo en cuenta el tratamiento de datos y la forma en que debe validarse la implementación de dicho sistema. Para realizar esta validación, la AEPD propone tener en cuenta 4 niveles de criticidad del cifrado que son los siguientes:

1. Nivel menos crítico: tratamientos de riesgo muy bajo implementando el sistema de cifrado como medida de protección por defecto,
2. Nivel de criticidad bajo y medio: cuando el sistema de cifrado sea una medida que gestiona riesgos medios y bajos en el tratamiento,
3. Nivel de criticidad alta: cuando el sistema de cifrado es una medida complementaria para tratamientos de riesgo alto, y
4. Nivel de criticidad altamente crítico: cuando el cifrado sea la garantía principal para gestionar tratamientos de alto riesgo.

Con todo ello, se propone evaluar los siguientes elementos del sistema de cifrado: claves, mensajes, cifrado, suite de cifrado, comunicaciones, receptor, y gobernanza. De este modo, la guía publicada por la AEPD propone una serie de controles a realizar en cada uno de los elementos indicados con anterioridad, con el fin de validar el sistema de cifrado.

En conclusión, estas orientaciones son un punto de partida para la verificación, evaluación y valoración periódica de las medidas de seguridad, centrándose en este caso en el sistema de cifrado, al ser una de las medidas más habituales y complejas implementadas en los tratamientos de datos personales.