Hash

Hash como técnica de seudonimización de datos personales

La Agencia Española de Protección de Datos (AEPD) ha lanzado una nueva guía sobre el hash como técnica de seudonimización de datos personales.

El RGPD menciona la seudonimización de datos personales entre las medidas técnicas y organizativas recomendadas para mantener un nivel de seguridad adecuado al riesgo. Sin embargo, no especifica cómo se pueden seudonimizar los datos. En este contexto, las funciones hash son una de las alternativas, y a estos efectos la AEPD ha preparado una guía para clarificar su aplicación y funcionamiento. En el blog de hoy detallamos sus elementos clave.

¿Qué significa ‘seudonimización’?

Conforme al RGPD, ‘seudonimización’ significa “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

¿Qué es una función hash?

¿Alguna vez has intentado escribir un tweet de más de 280 caracteres y no has podido por la limitación de caracteres de Twitter? Las funciones hash han llegado para salvarte.

Una función hash es un proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, independientemente del tamaño de los datos de entrada. Por ejemplo, el texto completo de El Quijote podría quedar reducido a una serie de cien números tras aplicar una función hash. ¿Cómo? Las funciones hash dividen el mensaje de entrada en diferentes bloques, a los cuales asignan un hash por cada uno de ellos, que después son sumados.

Las funciones hash y el riesgo de reidentificación

¿Cuál es la probabilidad de que los datos de salida de una función hash se reviertan a los de entrada? Imaginemos que queremos asociar un valor hash a cada uno de los números de la Seguridad Social en España. El elemento más relevante a fin de dificultar o facilitar la reidentificación es el denominado “orden” en el espacio de mensajes.

El espacio de mensajes está representado por todos los posibles conjuntos de datos de los cuales se puede generar un hash (en nuestro caso, los números de la Seguridad Social de España). Cuanto más estricto sea el “orden” (por ejemplo, se establece que únicamente entrarán en la prueba los números de la Seguridad Social de mujeres entre 30 y 45 años), más pequeño será el conjunto de números (espacio de mensajes). Esto garantiza la efectividad del hash como identificador único, pero también incrementa la probabilidad de que se pueda identificar el conjunto de datos de entrada a partir del conjunto de datos de salida.

El grado de desorden de un conjunto de datos se denomina entropía. Cuanto menor sea el espacio de mensajes y la entropía, menor será también el riesgo de colisión, pero a su vez será más probable la reidentificación y viceversa: cuanto mayor sea la entropía, mayor será la posibilidad de colisión y menor el riesgo de reidentificación. Este es el motivo por el que resulta esencial medir y controlar la cantidad de información que se someterá a la función hash cuando tratamos de proteger información mediante este vía o cualquier otra técnica de seudonimización o encriptado.

¿Cómo se aplica esto en el día a día? A efectos prácticos, cuantas más variables se incluyan para “ordenar” el espacio de mensajes (edad, sexo, estatus socioeconómico, nacionalidad, etc.), mayor es el riesgo de identificar el contenido del hash (singularizar a un individuo).

El riesgo de re-identificación es incluso mayor cuando se vincula información adicional al hash.

Estrategias para obstaculizar la re-identificación

Una estrategia para dificultar la reidentificación del valor del hash es utilizar un algoritmo de cifrado con una clave que almacena de forma confidencial el responsable o intervinientes en el tratamiento, que cifre bien el mensaje antes de realizar el hash.

La efectividad del encriptado dependerá del entorno (entornos distribuidos pueden incrementar el riesgo), la vulnerabilidad a ataques y el volumen de información encriptada (cuenta más información, más sencillo será llevar a cabo un criptoanálisis), entre otros.

Como una alternativa al encriptado, se pueden añadir campos aleatorios al mensaje original o de entrada, de forma que se obtiene un “mensaje extendido” que incrementa la entriopía.

El propio cálculo del hash (por ejemplo, la selección de un algoritmo concreto y su implementación), elementos relacionados con el espacio de mensajes (como la entriopía), información vinculada y elementos de seguridad física además de factores humanos, suponen una serie de debilidades e introducen diferentes elementos de riesgo que convierten a la función hash en una técnica de seudonimización más que de anonimización.

Conforme a la AEPD, la utilización de las técnicas de hash para seudonimizar o anonimizar la información de carácter personal deberá venir acompañada de un análisis de los riesgos de reidentificación que tiene la técnica de hash concreta empleada en el tratamiento. “Para considerar la técnica de hash como una técnica de anonimización, dicho análisis de riesgos ha de evaluar, además:

Las medidas organizativas que garantizan una eliminación de la información que permita le reidentificación.
Una garantía razonable de que el sistema será robusto más allá de la vida esperada de los datos de carácter personal”.

¿Necesitas asesoramiento en relación a las técnicas de seudonimización y anonimización? Aphaia ofrece servicios de consultoría de adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

RGPD en una economía del dato

Foro sobre el “RGPD en una economía del dato”

Aphaia acudió al foro sobre “RGPD en una economía del dato” que organizaron de manera conjunta la asociación Denae y la Universidad Queen Mary de Londres.

El foro sobre “RGPD en una economía del dato” tuvo lugar el pasado martes 29 en Madrid. Se trató de un evento de medio día donde los profesionales más importantes del sector se reunieron para hablar sobre el rol de las autoridades de control tras el RGPD, las implicaciones del Brexit en protección de datos y el nuevo Reglamento ePrivacy.

Una de las principales ideas que destacaron los ponentes fue el hecho de que el RGPD no es únicamente multas. En palabras del Dr. Ian Walden, Profesor de Derecho de la Información y Comunicaciones y Director del centro de Derecho Comercial de la Universidad Queen Mary de Londres, “el proceso completo de asegurar cumplimiento con las normas adecuadas a fin de proteger los derechos de los interesados no se basa sólo en multas”. En un sentido similar, Rafael García Gozalo, coordinador del Área de Internacional de la AEPD, indicó que “el plan de estrategia de la AEPD para el período 2015-2019 no incluye las infracciones como uno de sus principales objetivos. Esto no quiere decir que no se vayan a tomar dichas acciones cuando sea necesario, pero la AEPD no concibe que su rol de control deba estar centrado en tal aspecto”.

El foro contó con tres mesas redondas:

Organizaciones y autoridades de control: retos del RGPD y sus infracciones”;
Respondiendo al Brexit en una economía del dato: ¿estamos preparados?” y
Protección de datos en acción”.

La primera de las mesas redondas habló sobre las fuentes de las que se originan las infracciones. Es de destacar que el 50% de las multas tienen su base en quejas presentadas por los interesados. Esto significa que no sólo el cumplimiento importa, sino que también es clave la respuesta que se de a las quejas de los consumidores, usuarios y empleados y a cualquier incidente de seguridad que pueda ocurrir. Las medidas de mitigación deberían ocupar un lugar esencial en los planes y procedimientos de cumplimiento.

La segunda de las mesas se centró en el Brexit. Dado que las transferencias internacionales de datos copan todos los debates sobre la situación futura en caso de darse un Brexit sin acuerdo (como detalló Dr.Bostjan Makarovic en nuestro blog), los ponentes remarcaron la importancia de las Cláusulas Contractuales Tipo, y también la necesidad de que sean actualizadas conforme al RGPD, dado que fueron aprobadas bajo la anterior Directiva 95/46/CE.

La última mesa de debate analizó temas como el cumplimiento como servicio, el papel del responsable y del encargado de tratamiento y las principales arquitecturas de seguridad.

Estamos muy agradecidos a Ian Walden por invitarnos y también a Cristina Morales, Mabel Klimt, Estrella Gutiérrez, Rafael García Gozalo, Silvia Ruiz, Raúl Rubio, Paula Ortiz, Ulrich Wuermeling, Christopher Millard, Laura Aliaga and Alfredo Reino por sus más que interesantes aportaciones.

¿Tienes dudas sobre el Brexit? Las evaluaciones de impacto y el servicio de Delegado de Protección de Datos ofrecido por Aphaia te ayudarán en el cumplimiento de la normativa necesaria.

CCPA y el RGPD

Comparación de la CCPA y el RGPD

Similitudes y diferencias entre la CCPA y el RGPD

Ahora que ha pasado un año desde que el RGPD se comenzó a aplicar, ¿pensabas que ya habías terminado de adaptar todos tus procesos y sistemas a la normativa? No te pierdas este post, puede que la ley de privacidad de California (CCPA) te traiga mucho trabajo nuevo por hacer.

La CCPA fue aprobada en 2018 y desplegará sus efectos desde el 1 de enero de 2020. Se trata de la primera ley en EEUU que proporciona derechos de privacidad a los consumidores. Todas aquellas empresas que recojan, vendan o cedan información personal de residentes de California podrían estar sujetas a la CCPA.

Llegados a este punto puede que te estés preguntando si la CCPA es el ‘RGPD californiano’. Que no cunda el pánico, hemos preparado este artículo para explicarte todo de manera que puedas responder tú mismo a esa pregunta. Aphaia ha analizado la CCPA en relación al RGPD y hemos identificado las similitudes y diferencias más importantes. Te las detallamos a continuación:

¿Quién está obligado a cumplir con la CCPA?

Mientras que el RGPD se aplica a “responsables del tratamiento”, independientemente de su naturaleza o la actividad que desempeñen, las disposiciones de la CCPA sólo se aplican a entidades con ánimo de lucro (“empresas”) que:

tengan ánimo de lucro;
recojan información personal de consumidores, o de cuya parte dicha información es recogida;
decidan la finalidad y los medios del tratamiento de dicha información;
hagan negocios en California y;
alcancen alguno de los siguientes umbrales:
que su beneficio bruto anual exceda los 25 millones de dólares;
que, de manera independiente o conjunta, anualmente compren, reciban para fines comerciales, vendan o cedan para fines comerciales información personal de más de 50.000 consumidores, hogares o dispositivos; o
que obtengan el 50% o más de sus beneficios anuales de la venta de información personal de sus consumidores.

La CCPA también se aplica a cualquier entidad que controle o que sea controlada por la empresa que cumpla con las condiciones arriba descritas.

¿Hay límites territoriales?

La CCPA se aplica a empresas que realicen negocios en California y, de una forma similar al RGPD, aunque no se indica de manera expresa, también parece abarcar a aquellas empresas que, aun fuera de California, recojan, vendan o cedan información personal de residentes en California en el curso de sus actividades de negocio en dicho territorio.

¿Quién tiene derechos bajo la CCPA?

El RGPD regula los derechos de privacidad de los ‘interesados’, que se definen como “persona física identificada o identificable”, mientras que la CCPA protege al concepto de ‘consumidores’, entendidos como personas físicas residentes en California.

¿Qué tratamientos de datos regula la CCPA?

En oposición al RGPD, que cubre en general el ‘tratamiento’ de datos personales, la CCPA hace referencia específica a la ‘recogida’ y ‘cesión’ de datos personales.

Es importante tener en cuenta que ‘recogida’ incluye “compra, alquiler, recolección, obtención, recepción o acceso a información personal del consumidor por cualquier medio” y ‘venta’ abarca “alquiler, cesión, puesta a disposición, divulgación, transferencia o cualquier otra comunicación con intereses monetarios o de cualquier otro tipo que incluyan valor”. Resulta necesario destacar que ‘venta’ no supone de manera necesaria que deba mediar pago a cambio de la información personal.

¿Qué derechos garantiza la CCPA?

De forma similar al RGPD, la CCPA prevé nuevos derechos para los consumidores, entre los que se incluyen el derecho de transparencia sobre la recogida de datos, elderecho al olvido, el derecho de oposición y derecho a negarse a la venta de datos, lo cual precisará consentimiento activo cuando se trate de menores. De forma específica, los derechos de los consumidores recogidos en la CCPA son los siguientes:

El derecho a saber si se está recogiendo informaciónpersonal sobre ellos.
El derecho a saber qué categorías de datos están recogiendo las empresas.
El derecho a saber qué datos personales se recoge sobre ellos, los tipos de fuentes de las que se recoge dicha información, las finalidades y las categorías de terceros con las que se comparte.
El derecho a oponerse a la venta de su información personal.
El derecho a borrar su información personal.
El derecho a igualdad de servicio y precio aunque hayan ejercitado sus derechos de privacidad.

Parece claro que la CCPA tendrá grandes implicaciones para las empresas de California (y de todo el mundo), dado que es la ley de privacidad más estricta de la historia de EEUU. Sin embargo, con el apoyo profesional adecuado, las empresas serán capaces de implementar con éxito todos los elementos y adaptar sus procesos paso a paso, al igual que sucedió con el RGPD hace ahora casi dos años.

¿Necesitas asesoramiento para cumplir con la CCPA? Aphaia ofrece adaptación tanto a la CCPA como al RGPD, incluidas evaluaciones de impacto y servicios de Delegado de Protección de Datos”.

South Summit 2019

Aphaia asiste al South Summit 2019

Aphaia estuvo presente en la sexta edición del South Summit en Madrid.

La semana pasada tuvo lugar el South Summit 2019 en La Nave, Madrid. Se trata de un evento de emprendimiento e innovación que congrega de manera anual a startups e inversores de todas las partes del mundo.

Una gran variedad de firmas inversoras pudieron reunirse con miles de startups de diferente naturaleza, todas ellas con el denominador común de la tecnología como motor de las ideas.

El South Summit es una oportunidad única para conocer las innovaciones más pioneras y las propuestas de negocio más disruptivas que cambiarán las reglas del juego de diferentes sectores en el mercado los próximos años.

Como mención especial por nuestra parte, cabe destacar startups como Hoop Carpool, que ofrece una propuesta para que estudiantes y trabajadores compartan coche en sus trayectos diarios a la universidad o a la oficina; IDOVEN, que ofrece diagnósticos cardiológicos online o GATACA, que es una plataforma de Identidad Digital que permite a los usuarios digitalizar sus credenciales para agilizar con garantías los procesos de onboarding digitales.

Uno de los elementos más interesantes del South Summit es la ‘Startup Competition’ donde, de 100 proyectos seleccionados entre más de 3000, se alza un ganador general y otros por categorías. Estos han sido los ganadores de este año:

Ganador: Streamloots – Monetización de la audiencia para los eSports.

Startup más disruptiva: Bdeo – IA para la industria insurtech.

Producto más escalable: Influencity – Análisis, gestión y compra segmentada de campañas de influencers.

Mejor equipo: Jubel – Asesor de viajes personalizado mediante IA.

Startups como Glovo y Badi fueron finalistas de ediciones anteriores del South Summit.

Aphaia colabora de manera habitual con startups tanto de diferentes sectores como en diferentes fases de desarrollo para ayudarlas a saltar al mercado y crecer en el mismo con un producto y servicio que cumpla todos los requisitos legales desde la perspectiva de protección de datos, algoritmos, IA e IoT.

Si necesitas asesoramiento en protección de datos o IA para tus productos y servicios,Aphaia ofrece tanto adaptaciones al RGPD y a la normativa nacional, como servicio de DPO, evaluaciones de impacto y evaluaciones de la ética de la IA. Escríbenos y dinos cómo podemos ayudarte con tu startup.