Brechas de datos personales en entornos de pruebas, desarrollo y preproducción
El 18/04/2022 la AEPD ha publicado un artículo sobre las brechas de datos personales en entornos de desarrollo y preproducción, que analizamos a continuación:
La ingeniería de sistemas establece la conveniencia de trabajar antes de la fase de producción con entornos de desarrollo y preproducción. En estos entornos de pruebas, desarrollo o preproducción, aunque se debe limitar la exposición de datos personales reales, en ocasiones es inevitable tratarlos, por lo que pueden sufrir violaciones o brechas de seguridad de los datos personales si no se adoptan medidas técnicas y organizativas adecuadas al riesgo que esos tratamientos puedan suponer para los derechos y libertades de los interesados; no por ser entornos de prueba se deben obviar las medidas de seguridad exigidas por el GDPR en su art. 32.
En esa línea, el Supervisor Europeo de Protección de Datos (SEPD/EDPS) en sus “Directrices sobre la protección de datos personales en la gobernanza y la gestión de TI de las instituciones de la UE.” Indica que:
- En la fase de prueba, debe evitarse el uso de datos personales reales, que no fueron recogidos para esos fines y puede dar lugar al acceso de personas no autorizadas (80).
- Siempre que sea posible, deben utilizarse datos de prueba creados artificialmente o derivados de datos reales (sintéticos), de modo que se conserve su estructura, pero no contengan datos personales reales (81).
- Cuando un análisis demuestre que los datos creados no pueden proporcionar suficiente garantía de la validez de las pruebas, debe tomarse una decisión exhaustiva y documentada, que defina qué datos reales se utilizarán en la prueba, lo más limitado como sea posible, las salvaguardias técnicas y organizativas adicionales que se establezcan en el entorno de las pruebas. Las categorías especiales de datos sólo pueden utilizarse en las pruebas de datos reales con el consentimiento explícito de las personas afectadas (82).
Por tanto, en los entornos de pruebas, desarrollo o preproducción debemos:
- Aplicar una política estricta de "need-to-know", es decir que cada persona de la organización accederá exclusivamente a lo que necesita saber para el desempeño de sus funciones.
- Conforme al principio de minimización de datos y el principio de protección de datos desde el diseño y por defecto, cuando sea posible debe evitarse la utilización de datos personales.
- En muchos casos la utilización de datos sintéticos evita el tratamiento de datos personales (existen servicios, algunos de ellos de código abierto, para la generación de datos sintéticos).
- Cuando sea necesario la utilización datos personales deberá documentarse mediante un análisis de necesidad y proporcionalidad y de las bases jurídicas, y en todo caso aplicar las medidas técnicas y organizativas que sean necesarias, de igual calado que en los entornos de producción y, en todo caso, apropiadas para los riesgos específicos a la privacidad; además esos datos serán o formarán parte de tratamientos de datos personales y se debe cumplir con todas las obligaciones del RGPD. El contexto en el que tenga lugar un determinado tratamiento de datos no exime a los responsables de sus obligaciones a fin de proporcionar a los interesados el nivel de protección adecuado en cada caso con independencia de dicho contexto (desarrollo, preproducción o producción)
- No aplicar la medidas técnicas y organizativas adecuadas al nivel de riesgo para los derechos y libertades en todos los entornos supone una vulneración del artículo 32 del RGPD e incluso puede suponer una vulneración de otros principios como los principios de finalidad, necesidad y proporcionalidad.