Loading

Blog details

Home

Claves de cifrado y privacidad: la AEPD explica cómo las claves pueden ser datos personales

 

Los sistemas de cifrado pueden dividirse en dos categorías principales: los de cifrado simétrico y los de cifrado asimétrico. Los sistemas de cifrado simétricos sólo necesitan una única clave para cifrar y para descifrar. Por su parte, el cifrado asimétrico requiere por lo general una clave, que puede ser pública, para el cifrado y otra, que es privada, para el descifrado, la cual sólo está en posesión de su legítimo titular. En este último caso, mientras que las claves de cifrado y descifrado están relacionadas, es difícil averiguar una a través de la otra. Las claves asimétricas son muy adecuadas para su uso en internet, gracias a la clave pública que resulta de gran utilidad para procesos de autenticación, verificación de formas, e intercambio de claves simétricas, entre otras cosas.

 

Como identificador en línea, la clave pública puede ser un dato personal bajo el RGPD.

 

Mientras que las claves pueden estar anonimizadas, todavía es posible identificar a una persona si se puede encontrar un vínculo entre distintas acciones en línea. La clave pública y la clave privada pueden ser utilizadas de esta forma para identificar a un sujeto. Conforme al RGPD, “dato personal” es toda aquella información sobre una persona física identificada o identificable. Según el Artículo 4, una persona identificable es aquella que puede ser identificada, de manera directa o indirecta por referencia a un identificador, como el nombre, número de identificación, datos de localización o identificadores en línea relacionados con factores específicos de esa persona física.

 

El considerando 30 del RGPD establece que las personas físicas pueden asociarse con identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas, etc., que pueden dejar huellas que, combinadas con identificadores únicos y otra información recibida por los servidores, puede emplearse para elaborar perfiles o identificar personas físicas. En este sentido, una clave pública está considerada como identificador único, si se tiene en cuenta el hecho de que la probabilidad de que dos personas compartan la misma secuencia de caracteres como clave pública es cero. Esta singularidad es lo que permite que las claves públicas se utilicen de manera segura en sistemas de cifrado en línea.

 

Hay una relación importante entre las claves de cifrado privadas y la privacidad, pues las claves, tanto públicas como privadas, pueden ser, y han sido, utilizadas para identificar a una persona.

 

 

El uso de claves públicas y privadas hace posible elaborar un perfil de una persona e incluso demostrar que diferentes acciones en línea están vinculadas con el mismo sujeto. Este es el caso con la autenticación o la cadena de bloques. La precisión de este tipo de información es tal que realmente se ha podido identificar a personas físicas a través de ella, y de hecho este servicio se encuentra ahora disponible para las fuerzas y cuerpos de seguridad. Las claves públicas son creadas por terceros que identifican y registran a la persona física a quien pertenece, y emiten un certificado digital. Este proceso es posible gracias a las infraestructuras de clave pública (PKI). Mientras que el usuario de la clave pública en los sistemas de cifrado asimétrico precisa de una clave privada que no puede deducirse de la primera, sí se puede demostrar la asociación entre ambas claves, pues lo que se ha cifrado con la clave pública sólo puede descifrarse con la clave privada. En consecuencia, la clave pública actuaría como un pseudónimo con la consideración de datos personales, pues, bajo el Artículo 4 (5) del RGPD, los datos pseudonimizados son datos personales.

 

¿Cumples con todas las medidas para proteger los datos personales de tu página web o app? Podemos ayudarte. Nuestros servicios abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datosimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Prev post
La ICO publica una opinión sobre los estándares de protección de datos para la industria del AdTech
diciembre 2, 2021
Next post
El gobierno de Reino Unido publica un estándar de transparencia para algoritmos
diciembre 9, 2021

Leave a Comment