Actualmente, ya nadie pone en duda el valor que tienen los datos para todo tipo de empresas y entidades, sin embargo, también es cierto que leyes garantes de la privacidad, como el RGPD, pueden dificultar sacar el máximo partido a los datos sin vulnerar o perjudicar la privacidad de las personas. Una solución para este dilema son las denominadas privacy enhancing Technologies (PET), o tecnologías de mejora de la privacidad. En este artículo explicamos qué son las tecnologías PET, cómo funcionan y qué beneficios pueden aportar a las empresas.
¿Qué es la tecnología PET?
Más que hablar de lo que es la tecnología PET, debemos hablar de tecnologías PET en plural, puesto que bajo este concepto se agrupan diferentes tecnologías diseñadas principalmente para aplicar la protección de datos desde el diseño y por defecto.
Si bien aún no existe una definición estandarizada de lo que son las tecnologías PET, la guía publicada por la Information Commissioner’s Officer (ICO) del Reino Unido define las PET como aquellas tecnologías que «encarnan los principios fundamentales de la protección de datos al minimizar el uso de datos personales y maximizar la seguridad de los datos y/o capacitar a las personas» empleando muchas tecnologías y técnicas diferentes. Las leyes de protección de datos (RGPD y LOPDGDD en Europa y España) no definen las PET ni las mencionan de manera específica, aunque sí están contempladas en ella dentro de las medidas técnicas de seguridad.
Así mismo, la ENISA (Agencia de Ciberseguridad de la Unión Europea) ha definido las tecnologías PET como «soluciones de software y hardware, por ejemplo, sistemas que engloban procesos, métodos o conocimientos técnicos para lograr una funcionalidad específica de protección de la intimidad o de los datos de las personas físicas».
Las tecnologías PET tienen como objetivo minimizar el uso de datos personales y proteger su privacidad, pero a la vez poder usarlos con fines analíticos, comerciales, etc., sin poner en riesgo la privacidad de los individuos, es decir, que se puedan usar los datos personales sin posibilidad de que se identifique a las personas.
Cabe señalar que aunque las tecnologías PET están adquiriendo mayor protagonismo ahora, vienen estudiándose y desarrollándose desde los años 80 del siglo XX.
Tipos de tecnologías PET
Actualmente no existe una clasificación estandarizada de las tecnologías PET existentes, si bien, diversas entidades y organizaciones han publicado diferentes clasificaciones, estas carecen de criterios homogéneos.
Puesto que ya hemos citado la guía de la ICO británica, volvemos a ella para agrupar las diferentes PET que se emplean actualmente o cuya aplicación se está estudiando y desarrollando:
- Tecnologías para la ocultación y protección de datos, enfocadas a mejorar la seguridad. Son ejemplos la encriptación homomórfica y las pruebas de conocimiento cero.
- Tecnologías para reducir las posibilidades de identificación de los interesados y cumplir con el principio de minimización de datos. Son ejemplos de estas PET la privacidad diferencial y los datos sintéticos.
- Control al acceso de datos personales y sobre con quién se comparten, para asegurar la confidencialidad y la integridad de la información, pero sin que esto suponga un perjuicio para la utilidad y exactitud de los datos a la hora de explotarlos. Son ejemplos los entornos de ejecución de confianza, el cálculo multipartito seguro y el análisis federado.
La mayoría de tecnologías PET citadas en la clasificación anterior permiten analizar datos encriptados o usarlos sin que estos salgan de las compañías que los tratan o los dispositivos en los que se han generado, de manera que se reduce el riesgo de exponer los datos o las posibilidades de identificación.
¿Cómo funcionan las tecnologías PET?
Las tecnologías PET funcionan usando técnicas criptográficas y computacionales avanzadas, diseñadas para mantener y proteger la confidencialidad e integridad de la información personal que tratan las empresas, especialmente aquella que viaja a través de la Red, como la recopilada en páginas web de todo tipo, en navegadores y dispositivos conectados.
Empleando diferentes algoritmos y técnicas de aprendizaje automático, las PET ayudan a cumplir con la normativa de protección de datos en diferentes áreas. Por ejemplo, el cifrado homomórfico permite realizar cálculos y análisis sobre datos cifrados, lo que garantiza la confidencialidad. Mientras que con las pruebas de conocimiento cero se puede demostrar la veracidad de una información sin revelar la propia información.
Técnicas como la privacidad diferencial o los datos sintéticos tienen como finalidad anonimizar los datos, impidiendo la identificación de las personas de los que provienen.
¿Por qué son importantes las privacy enhancing Technologies (PET)?
Las personas nos movemos y operamos cada vez más en entornos digitales o conectados a internet, las empresas se están digitalizando y el desarrollo de la inteligencia artificial sigue un curso aparentemente imparable. Esto, sumado a los riesgos y amenazas para la privacidad de las personas, desde las que cometen las propias empresas al incumplir las leyes de protección de datos (ya sea por descuido, desconocimiento o de forma intencional), así como las que suponen los cibercriminales, hacen necesario desarrollar tecnologías y sistemas que ayuden a proteger la privacidad, garantizando así una mayor seguridad digital.
Las tecnologías PET cumplen o quieren cumplir ese papel; gracias a ellas y a su aplicación, las empresas pueden cumplir con los principios emanados de la normativa de protección de datos de una manera más «sencilla», aplicando medidas de seguridad desde el diseño y basadas, en muchos casos, en la encriptación y la anonimización, lo que garantiza una mayor confidencialidad de la información.
Las PET, además, permiten analizar los datos y explotarlos sin poner en riesgo la privacidad, ya que, cómo hemos visto más arriba, algunas de estas técnicas tienen como finalidad el análisis de datos y la obtención de información sin que realmente la identidad o la posibilidad de identificar a los individuos se vea expuesta. Su aplicación favorece, por lo tanto, el estudio colaborativo y el intercambio de información sin correr el riesgo de que la privacidad se vea vulnerada.
¿Qué beneficios aportan las PET a las empresas?
Entre los principales beneficios que aportan o pueden aportar las PET a las empresas, los más importantes son los relativos al cumplimiento de la protección de datos desde el diseño y por defecto, ya que ayudan a:
- Cumplir con el principio de minimización de datos, ya que el empleo de determinadas PET permite recabar y tratar solo los datos necesarios para cumplir con el fin perseguido.
- Alcanzar un mayor nivel de seguridad en los tratamientos de datos.
- Alcanzar un mayor nivel de confidencialidad, ya que hay PET que permiten anonimizar los datos de manera sólida y efectiva.
- Evitar el acceso de terceros no autorizados a los datos en caso de pérdida o robo, ya que los datos están encriptados y no son legibles.
¿Qué problemas presentan las tecnologías PET?
Pese a los beneficios y ventajas que pueden aportar las tecnologías PET, también presentan algunos problemas derivados de diferentes factores, como la falta de madurez, la inexperiencia en su configuración o las vulnerabilidades que suelen acompañar el desarrollo y aplicación de nuevas tecnologías. Esto hace que sea fundamental asegurarse de que las PET usadas cuentan con medidas de seguridad suficientes.
Así mismo, la implementación de las PET es otro de los problemas a los que se pueden enfrentar las empresas, que tendrán que valorar y evaluar las capacidades tecnológicas de sus equipos para determinar si la implementación es viable o no, si se hace manera interna, desarrollando tecnologías y métodos propios, o se contratan herramientas externas. Además, es muy posible que se deba formar a los equipos en el uso adecuado de estas tecnologías.