L'enginyeria de sistemes estableix la conveniència de treballar amb diversos entorns diferenciats: habitualment, desenvolupament, preproducció i producció. De forma general, el recomanable és treballar a l'entorn de desenvolupament, realitzar les proves a l'entorn de preproducció i finalment desplegar aplicacions i serveis a l'entorn de producció. Des de l'òptica de protecció de dades, cal tenir en compte aquesta diferenciació i limitar l'exposició de dades personals reals, i/o que estiguin en els sistemes de producció, en les fases de desenvolupament i proves pel risc que pot suposar per als drets i llibertats de les persones.
Encara és habitual trobar entorns de desenvolupament i preproducció en els quals les mesures tècniques i organitzatives orientades a implementar les mesures i garanties establertes en el Reglament General de Protecció de Dades (RGPD) es relaxen, o que queden exposats a internet sense mesures de seguretat o abandonats i en desús pel que les mesures de seguretat aviat queden obsoletes. Però tampoc cal oblidar que en alguns casos s'emprin dades reals per a proves de depuració d'errors en labors de manteniment i/o desenvolupament.
Amb l'aplicació del RGPD i la LOPDGDD, la situació respecte a l'ús de dades personals per a proves en general, i en particular en entorns de desenvolupament, es pot resumir breument a continuació.
En primer lloc, el RGPD en el seu article 32 Seguretat del tractament, estableix que el responsable i l'encarregat de tractament aplicaran mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc per als drets i llibertats dels interessats. Després el responsable i l'encarregat han de determinar les mesures de seguretat apropiades pel que fa a l'ús de dades personals reals en entorns de preproducció i proves. A més, han d'establir aquestes mesures tenint en compte el nivell de risc específicament en relació amb la protecció de dades, d'igual forma que han de tenir en compte els riscos per a l'organització, com en qualsevol entorn de producció.
Conforme al principi de minimització de dades i el principi de protecció de dades des del disseny i per defecte, quan sigui possible ha d'evitar-se la utilització de dades personals en entorns de desenvolupament i preproducció, o qualsevol un altre entorn de proves . A més, les proves de programari amb dades personals són, o formen part de, tractaments de dades personals i el responsable del tractament ha de complir amb totes les obligacions que es desprenen del RGPD. I aunque no sempre és possible, en molts casos la utilització de dades sintètiques evita el tractament de dades personals en proves de desenvolupament. Existeixen serveis, alguns d'ells lliures i de codi obert , per la generació de dades sintètiques de tot tipus ben coneguts en el sector.
Per tant, quan sigui estrictament necessari la utilització de dades personals en entorns de preproducció haurà de documentar-se mitjançant una anàlisi de necessitat i proporcionalitat, i en tot caso aplicar les mesures tècniques i organitzatives que siguin necessàries conforme a l'article 32 del RGPD i d'acord amb el risc del tractament.
El risc a l'entorn de preproducció podria ser el mateix que el risc del tractament a l'entorn de producció. Però també pot succeir que aquest risc sigui més elevat, ja que és habitual comptar amb altres encarregats de tractament en les labors de desenvolupament, utilitzar sistemes en el núvol de proveïdors diferents als entorns de producció, tenir una major incertesa sobre la fiabilitat del codi, dur a terme proves amb noves tecnologies, etc.
Per tot això, els entorns de proves deuran comptar amb mesures tècniques i organitzatives d'igual calat i, en tot cas, apropiades per als riscos específics a la privadesa amb independència del context en el qual anessin tractats, doncs tal com s'assenyalava pel grup de treball de l'article 29, avui Comitè Europeu de Protecció de Dades, a la seva declaració sobre el paper de l'enfocament de riscos en el marc normatiu de la protecció de dades (WP218): "… Los interessats han de tenir el mateix nivell de protecció, independentment de la grandària de l'organització o la quantitat de dades que processa. Per tant, el Grup de Treball considera que tots els responsables han d'actuar de conformitat amb la llei, encara que això es pot fer de manera escalable". És a dir, el context en el qual tingui lloc un determinat tractament de dades no eximeix als responsables de les seves obligacions a fi de proporcionar als interessats el nivell de protecció adequat en cada cas amb independència d'aquest context (desenvolupament, preproducció o producció), i això inclou l'anàlisi de necessitat, proporcionalitat i de les bases jurídiques aplicables, a més de la resta de obligacions exigides en la normativa de protecció de dades.
No aplicar la mesures tècniques i organitzatives adequades al nivell de risc per als drets i llibertats en tots els entorns suposa una vulneració de l'article 32 del RGPD i fins i tot pot suposar una vulneració d'altres principis com els principis de finalitat, necessitat i proporcionalitat.
Font original de la notícia