¿Qué son las PET y cómo ayudan a automatizar la privacidad en las organizaciones?

Entre las innumerables exigencias de cumplimiento normativo que afectan a las organizaciones están proliferando las relacionadas con la privacidad. Razón por la que cada vez más se buscan herramientas o mecanismos que permitan optimizar el cumplimiento de regulaciones tan diversas.

En materia de privacidad, es inevitable pensar en las Privacy Enhancing Technologies (en adelante PET o PETs) que, a pesar de no ser un concepto nuevo, ya que lleva años siendo objeto de trabajo y análisis por parte de diferentes organismos y autoridades, las PET siguen suscitando interés y atrayendo la atención de todas las organizaciones que buscan optimizar y automatizar el cumplimiento en materia de privacidad.

Las PET son tecnologías que encarnan los principios fundamentales de la protección de datos

¿Qué clases de PET existen?

Ahora bien, para entender qué pueden aportar las PET a las organizaciones y cómo ayudan al cumplimiento normativo de protección de datos, es necesario conocer que existen diferentes tipos de PETs. Si bien a lo largo del tiempo diferentes entidades u organizaciones han desarrollado diversidad de clasificaciones de PETs, por ejemplo, en opacas y transparentes según The European Project on the Future of Identity in the Information Society (FIDIS), Privacy Protection y Privacy managment, de la mano del grupo Meta, entre muchos otros, lo cierto es que en la actualidad no existe una clasificación estandarizada en base a unos criterios homogéneos.

Si nos centramos en la información que ahora incluye la ICO en este documento, existen diferentes tipos de PET que pueden ayudar a cumplir con la protección de datos personales, en especial con el principio de protección de datos desde el diseño y por defecto, entre las que se destacan las siguientes:

• Reducir la identificación de las personas a las que se refieren los datos que se están tratando, mejorando así el cumplimiento del principio de minimización de datos, recogido en el RGPD. Algunos ejemplos son la privacidad diferencial o los datos sintéticos.

• Ocultar y proteger los datos, favoreciendo el cumplimiento de las medidas de seguridad, como es el caso de la encriptación homomórfica o las pruebas de conocimiento cero.

• Dividir o controlar el acceso a los datos personales, minimizando la cantidad de datos compartidos y garantizando la confidencialidad e integridad de la información, sin que ello afecte a la utilidad y exactitud de los datos. Por ejemplo, los entornos de ejecución de confianza (TEE por sus siglas en inglés: Trusted Execution Environment), el cálculo multipartito seguro (SMPC por sus siglas en inglés: Summary of product characteristics), entre otros.

¿Qué beneficios pueden aportar a las organizaciones?

Las PET pueden ayudar a demostrar el cumplimiento de la protección de datos desde el diseño y por defecto, ya que favorecen la garantía de principios y obligaciones que son pilares básicos del RGPD:

• El cumplimiento con el principio de minimización de datos, garantizando que solamente se traten datos personales adecuados a las necesidades y fines del tratamiento.

• Proporcionar un nivel de seguridad del tratamiento de los datos adecuado a los fines y a los riesgos asociados a dicho tratamiento, siempre teniendo en cuenta la previa evaluación de impacto que determine si las PET son adecuadas o no para cumplir los objetivos perseguidos.

• Aplicar soluciones sólidas de seudonimización y anonimización. En este sentido, es esencial entender que las PET y la anonimización son conceptos distintos, aunque estén relacionados. Existen tecnologías PET que permiten cumplir con la anonimización, pero no todas las PET dan lugar a una anonimización efectiva, y se puede conseguir la anonimización sin utilizarlas.

• Minimizar el riesgo que se deriva de las violaciones de datos personales, haciendo que los datos personales sean ininteligibles para cualquier persona no autorizada a acceder a ellos.

Enlace al sitio web de un tercero Información extraída del sitio web de KPMG

Enlace al sitio web de un tercero Más información en el sitio web ENISA