El cifrado es una medida que se toma para asegurar los datos de las organizaciones de cara a accesos no autorizados evitando brechas de seguridad, ataques informáticos o incluso para limitar el acceso a cierto personal autorizado. El cifrado de datos en el RGPD encuentra referencias expresas como posible medida para evitar situaciones de riesgos.

La privacidad es una medida preventiva para evitar estos casos de riesgo de la información. Aunque se debe tener un plan de prevención de riesgos global donde se planteen medidas preventivas, de actuación, de control y correctivas en caso de producirse algún altercado.

En el caso de que se produzca alguna brecha de seguridad, se debe recoger una serie de datos para poder actuar de forma correcta y comunicarlo a las autoridades competentes e, incluso, a los afectados. Según la Agencia Española de Protección de Datos, estos datos a recoger son:

• Medio en el que se ha dado la brecha de seguridad.
• Originalidad interna o externa.
• Intencionalidad de la brecha.
• Categoría de datos afectados.
• Volumen de datos afectados.
• Categoría de clientes.
• Información temporal de la brecha.

Aunque siempre es recomendable notificar una brecha de datos a la AEPD, solo es obligatorio en caso de que los derechos y las libertades de los implicados se vean en peligro. Para ello, se da un plazo de 72 horas.

Ya hemos comentado que las brechas de datos no son los únicos motivos para cifrar la información, aunque si es el que más suele preocupar. Pero algo tan sencillo como la pérdida de un portátil, incluso de un dispositivo móvil es un buen motivo para usar esta medida. . Y es mucho más común de los que nos podamos imaginar. El 20% de las notificaciones a la AEPD tiene que ver con una pérdida o robo de algún dispositivo móvil. Las consecuencias se agravarían de no tener una copia de seguridad recuperable y actualizada disponible.

Cifrado de datos según la RGPD

El Reglamento General de Protección de Datos, RGPD, tiene en consideración el método de cifrar información como medida preventiva ante posibles riesgos.

Además, este reglamento europeo también hace referencia al método como una garantía ante diversas situaciones. Como por ejemplo, en el tratamiento de datos con un fin diferente al fin por el que se recogieron.

Esta medida garantiza la seguridad en grandes medidas. Los responsables y encargados de los datos personales deben organizar y gestionar los datos de forma que se garantice su seguridad y privacidad. Es por eso por lo que el cifrado, al codificar la información haciéndola ininteligible para aquellos no autorizados restringiendo sus accesos, supone un filtro de seguridad.

El cifrado además puede evitar la necesidad de comunicar a los sujetos afectados cualquier brecha de seguridad, ya que se adoptaron medidas para la protección y la ininteligibilidad de los datos.

La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, LOPDGDD, hace las mismas referencias de este método como medida de seguridad.

El cifrado es una gran garantía de seguridad, pero no se debe apostar por este método como único para la anonimización de los datos. Es posible cifrar los datos y aún así poder conocer identidades, como pasó en el caso de Avast. Deben usarse una sinergia de técnicas que en conjunto aporten esa anonimización para garantizar la privacidad de los usuarios.