L'enginyeria de sistemes establix la conveniència de treballar amb diversos entorns diferenciats: habitualment, desenvolupament, preproducció i producció. De forma general, el recomanable és treballar a l'entorn de desenvolupament, realitzar les proves a l'entorn de preproducció i finalment desplegar aplicacions i servicis a l'entorn de producció. Des de l'òptica de protecció de dades, cal tindre en compte esta diferenciació i limitar l'exposició de dades personals reals, i/o que estiguen en els sistemes de producció, en les fases de desenvolupament i proves pel risc que pot suposar per als drets i llibertats de les persones.
Encara és habitual trobar entorns de desenvolupament i preproducció en els quals les mesures tècniques i organitzatives orientades a implementar les mesures i garanties establides en el Reglament General de Protecció de Dades (RGPD) es relaxen, o que queden exposats a internet sense mesures de seguretat o abandonats i en desús pel que les mesures de seguretat prompte queden obsoletes. Però tampoc cal oblidar que en alguns casos s'empren dades reals per a proves de depuració d'errors en labors de manteniment i/o desenvolupament.
Amb l'aplicació del RGPD i la LOPDGDD, la situació respecte a l'ús de dades personals per a proves en general, i en particular en entorns de desenvolupament, es pot resumir breument a continuació.
En primer lloc, el RGPD en el seu article 32
Seguretat del tractament, establix que el responsable i l'encarregat de tractament aplicaran mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat al risc per als drets i llibertats dels interessats. Després el responsable i l'encarregat han de determinar les mesures de seguretat apropiades respecte de l'ús de dades personals reals en entorns de preproducció i proves. A més, han d'establir estes mesures tenint en compte el nivell de risc específicament en relació amb la protecció de dades, d'igual forma que han de tindre en compte els riscos per a l'organització, com en qualsevol entorn de producció.
Conforme al principi de minimització de dades i el principi de protecció de dades des del disseny i per defecte, quan siga possible ha d'evitar-se la utilització de dades personals en entorns de desenvolupament i preproducció, o qualsevol un altre entorn de proves . A més, les proves de programari amb dades personals són, o formen part de, tractaments de dades personals i el responsable del tractament ha de complir amb totes les obligacions que es desprenen del RGPD. I aunque no sempre és possible, en molts casos la utilització de dades sintètiques evita el tractament de dades personals en proves de desenvolupament. Existixen servicis, alguns d'ells lliures i de codi obert , per a la generació de dades sintètiques de tot tipus ben coneguts en el sector.
Per tant, quan siga estrictament necessari la utilització de dades personals en entorns de preproducció haurà de documentar-se mitjançant una anàlisi de necessitat i proporcionalitat, i en tot case aplicar les mesures tècniques i organitzatives que siguen necessàries conforme a l'article 32 del RGPD i d'acord amb el risc del tractament.
El risc a l'entorn de preproducció podria ser el mateix que el risc del tractament a l'entorn de producció. Però també pot succeir que eixe risc siga més elevat, ja que és habitual comptar amb altres encarregats de tractament en les labors de desenvolupament, utilitzar sistemes en el núvol de proveïdors diferents als entorns de producció, tindre una major incertesa sobre la fiabilitat del codi, dur a terme proves amb noves tecnologies, etc.
Per tot açò, els entorns de proves deuran comptar amb mesures tècniques i organitzatives d'igual calat i, en tot cas, apropiades per als riscos específics a la privacitat amb independència del context en el qual anaren tractats, doncs tal com s'assenyalava pel grup de treball de l'article 29, hui Comité Europeu de Protecció de Dades, en la seua declaració sobre el paper de l'enfocament de riscos en el marc normatiu de la protecció de dades (WP218): "… Els interessats han de tindre el mateix nivell de protecció, independentment de la grandària de l'organització o la quantitat de dades que processa. Per tant, el Grup de Treball considera que tots els responsables han d'actuar de conformitat amb la llei, encara que açò es pot fer de manera escalable". És a dir, el context en el qual tinga lloc un determinat tractament de dades no eximix als responsables de les seues obligacions a fi de proporcionar als interessats el nivell de protecció adequat en cada cas amb independència d'aquest context (desenvolupament, preproducció o producció), i açò inclou l'anàlisi de necessitat, proporcionalitat i de les bases jurídiques aplicables, a més de la resta de obligacions exigides en la normativa de protecció de dades.
No aplicar la mesures tècniques i organitzatives adequades al nivell de risc per als drets i llibertats en tots els entorns suposa una vulneració de l'article 32 del RGPD i fins i tot pot suposar una vulneració d'altres principis com els principis de finalitat, necessitat i proporcionalitat.
Font original de la notícia
