A enxeñaría de sistemas establece a conveniencia de traballar con varias contornas diferenciadas: habitualmente, desenvolvemento, preprodución e produción. De forma xeral, o recomendable é traballar na contorna de desenvolvemento, realizar as probas na contorna de preprodución e finalmente despregar aplicacións e servizos na contorna de produción. Desde a óptica de protección de datos, hai que ter en conta esta diferenciación e limitar a exposición de datos persoais reais, e/ou que estean nos sistemas de produción, nas fases de desenvolvemento e probas polo risco que pode supor para os dereitos e liberdades das persoas.
Aínda é habitual atopar contornas de desenvolvemento e preprodución nos que as medidas técnicas e organizativas orientadas a implementar as medidas e garantías establecidas no Regulamento Xeral de Protección de Datos (RGPD) reláxanse, ou que quedan expostos a internet sen medidas de seguridade ou abandonados e en desuso polo que as medidas de seguridade pronto quedan obsoletas. Pero tampouco hai que esquecer que nalgúns casos empréguense datos reais para probas de depuración de erros en labores de mantemento e/ou desenvolvemento.
Coa aplicación do RGPD e a LOPDGDD, a situación respecto ao uso de datos persoais para probas en xeral, e en particular en contornas de desenvolvemento, pódese resumir brevemente a seguir.
En primeiro lugar, o RGPD no seu artigo 32
Seguridade do tratamento, establece que o responsable e o encargado de tratamento aplicarán medidas técnicas e organizativas apropiadas para garantir un nivel de seguridade adecuado ao risco para os dereitos e liberdades dos interesados. Daquela o responsable e o encargado deben determinar as medidas de seguridade apropiadas con respecto ao uso de datos persoais reais en contornas de preprodución e probas. Ademais, deben establecer estas medidas tendo en conta o nivel de risco especificamente con relación á protección de datos, de igual forma que han de ter en conta os riscos para a organización, como en calquera contorna de produción.
Conforme ao principio de minimización de datos e o principio de protección de datos desde o deseño e por defecto, cando sexa posible debe evitarse a utilización de datos persoais en contornas de desenvolvemento e preprodución, ou calquera outro contorna de probas . Ademais, as probas de software con datos persoais son, ou forman parte de, tratamentos de datos persoais e o responsable do tratamento debe cumprir con todas as obrigas que se desprenden do RGPD. E a unquenon sempre é posible, en moitos casos a utilización de datos sintéticos evita o tratamento de datos persoais en probas de desenvolvemento. Existen servizos, algúns deles libres e de código aberto , para Ábrea xeración de datos sintéticos de todo tipo ben coñecidos no sector.
Por tanto, cando sexa estritamente necesario a utilización de datos persoais en contornas de preprodución deberá documentarse mediante unha análise de necesidade e proporcionalidade, e en todo caso aplicar as medidas técnicas e organizativas que sexan necesarias conforme ao artigo 32 do RGPD e de acordo con o risco do tratamento.
O risco na contorna de preprodución podería ser o mesmo que o risco do tratamento na contorna de produción. Pero tamén pode suceder que ese risco sexa máis elevado, xa que é habitual contar con outros encargados de tratamento nos labores de desenvolvemento, utilizar sistemas na nube de provedores diferentes ás contornas de produción, ter unha maior incerteza sobre a fiabilidade do código, levar a cabo probas con novas tecnoloxías, etc.
Por todo isto, as contornas de probas deberán de contar con medidas técnicas e organizativas de igual calado e, en todo caso, apropiadas para os riscos específicos á privacidade con independencia do contexto no que fosen tratados, pois tal e como se sinalaba polo grupo de traballo do artigo 29, hoxe Comité Europeo de Protección de Datos, na súa declaración sobre o papel do enfoque de riscos no marco normativo da protección de datos (WP218): "… Los interesados deben ter o mesmo nivel de protección, independentemente do tamaño da organización ou a cantidade de datos que procesa. Por tanto, o Grupo de Traballo considera que todos os responsables deben actuar de conformidade coa lei, aínda que isto pódese facer de maneira escalable". É dicir, o contexto no que teña lugar un determinado tratamento de datos non exime aos responsables das súas obrigas co fin de proporcionar aos interesados o nivel de protección adecuado en cada caso con independencia do este contexto (desenvolvemento, preprodución ou produción), e iso inclúe a análise de necesidade, proporcionalidade e das bases xurídicas aplicables, ademais do resto de obrigas esixidas na normativa de protección de datos.
Non aplicar a medidas técnicas e organizativas adecuadas ao nivel de risco para os dereitos e liberdades en todas as contornas supón unha vulneración do artigo 32 do RGPD e mesmo pode supor unha vulneración doutros principios como os principios de finalidade, necesidade e proporcionalidade.
Fonte orixinal da noticia
