La Agencia Española de Protección de Datos (AEPD) ha lanzado la nueva herramienta ValidaCripto RGPD, que ayuda a evaluar los sistemas de cifrado para facilitar el cumplimiento de la normativa analizando cada uno de los elementos del proceso.
Tras la publicación de las Orientaciones para la validación de sistemas criptográficos en la protección de datos junto a ISMS Forum y APEP el pasado mayo, y debido a la buena acogida nacional e internacional de la guía, la Agencia ha trasladado su metodología a una herramienta web ágil e intuitiva.
La herramienta gratuita se ejecuta localmente en el navegador, sin registrar ni transmitir ningún dato a la AEPD. Cuenta con un apartado de ayuda donde se explica su funcionamiento paso a paso, desde la selección del impacto del sistema de cifrado en el tratamiento, la categorización de los elementos más críticos, el repaso de los controles sugeridos y la generación de una documentación de seguimiento. Su objetivo es ofrecer una solución eficaz para verificar la idoneidad de los sistemas criptográficos implementados en los tratamientos de datos personales, seleccionando en la lista de controles propuestos aquellos que pudieran ser los más oportunos. Los datos pueden almacenarse y cargarse en un archivo local, bajo el control total del usuario, y permite generar informes.
La protección de los datos personales es un derecho fundamental que requiere medidas adecuadas para garantizar su seguridad. Una de estas medidas es el uso de sistemas criptográficos que permitan cifrar la información sensible, transformando la información en un conjunto de datos aparentemente ininteligible. Actualmente, dos mil millones de personas utilizan diariamente el cifrado para proteger sus comunicaciones (European Digital Rights 2023). El Reglamento General de Protección de Datos lo menciona como una medida que forma parte de las condiciones para la conformidad del tratamiento y como ayuda para mitigar los riesgos ante una posible brecha de datos personales.
La herramienta ValidaCripto RGPD, al igual que las Orientaciones para la validación de sistemas criptográficos en la protección de datos, está dirigida a los responsables y encargados o subencargados de tratamientos que aplican criptografía en sus tratamientos de datos personales. Por lo tanto, también está orientada a delegados, asesores y auditores de protección de datos, especialistas en seguridad, y responsables de las entidades responsables o encargadas. También se aconseja esta guía a desarrolladores de soluciones de cifrado que estén destinadas al tratamiento de datos personales y, en general, a los desarrolladores de productos y servicios de sistemas TIC.