La ingeniería de sistemas establece la conveniencia de trabajar con varios entornos diferenciados: habitualmente, desarrollo, preproducción y producción. De forma general, lo recomendable es trabajar en el entorno de desarrollo, realizar las pruebas en el entorno de preproducción y finalmente desplegar aplicaciones y servicios en el entorno de producción. Desde la óptica de protección de datos, hay que tener en cuenta esta diferenciación y limitar la exposición de datos personales reales, y/o que estén en los sistemas de producción, en las fases de desarrollo y pruebas por el riesgo que puede suponer para los derechos y libertades de las personas.
Todavía es habitual encontrar entornos de desarrollo y preproducción en los que las medidas técnicas y organizativas orientadas a implementar las medidas y garantías establecidas en el Reglamento General de Protección de Datos (RGPD) se relajan, o que quedan expuestos a internet sin medidas de seguridad o abandonados y en desuso por lo que las medidas de seguridad pronto quedan obsoletas. Pero tampoco hay que olvidar que en algunos casos se empleen datos reales para pruebas de depuración de errores en labores de mantenimiento y/o desarrollo.
Con la aplicación del RGPD y la LOPDGDD, la situación respecto al uso de datos personales para pruebas en general, y en particular en entornos de desarrollo, se puede resumir brevemente a continuación.
En primer lugar, el RGPD en su artículo 32 Seguridad del tratamiento, establece que el responsable y el encargado de tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los interesados. Luego el responsable y el encargado deben determinar las medidas de seguridad apropiadas con respecto al uso de datos personales reales en entornos de preproducción y pruebas. Además, deben establecer estas medidas teniendo en cuenta el nivel de riesgo específicamente con relación a la protección de datos, de igual forma que han de tener en cuenta los riesgos para la organización, como en cualquier entorno de producción.
Conforme al principio de minimización de datos y el principio de protección de datos desde el diseño y por defecto, cuando sea posible debe evitarse la utilización de datos personales en entornos de desarrollo y preproducción, o cualquier otro entorno de pruebas . Además, las pruebas de software con datos personales son, o forman parte de, tratamientos de datos personales y el responsable del tratamiento debe cumplir con todas las obligaciones que se desprenden del RGPD. Y aunque no siempre es posible, en muchos casos la utilización de datos sintéticos evita el tratamiento de datos personales en pruebas de desarrollo. Existen servicios, algunos de ellos libres y de código abierto , para la generación de datos sintéticos de todo tipo bien conocidos en el sector.
Por tanto, cuando sea estrictamente necesario la utilización de datos personales en entornos de preproducción deberá documentarse mediante un análisis de necesidad y proporcionalidad, y en todo caso aplicar las medidas técnicas y organizativas que sean necesarias conforme al artículo 32 del RGPD y de acuerdo con el riesgo del tratamiento.
El riesgo en el entorno de preproducción podría ser el mismo que el riesgo del tratamiento en el entorno de producción. Pero también puede suceder que ese riesgo sea más elevado, ya que es habitual contar con otros encargados de tratamiento en las labores de desarrollo, utilizar sistemas en la nube de proveedores diferentes a los entornos de producción, tener una mayor incertidumbre sobre la fiabilidad del código, llevar a cabo pruebas con nuevas tecnologías, etc.
Por todo esto, los entornos de pruebas deberán de contar con medidas técnicas y organizativas de igual calado y, en todo caso, apropiadas para los riesgos específicos a la privacidad con independencia del contexto en el que fueran tratados, pues tal y como se señalaba por el grupo de trabajo del artículo 29, hoy Comité Europeo de Protección de Datos, en su declaración sobre el papel del enfoque de riesgos en el marco normativo de la protección de datos (WP218): "… Los interesados deben tener el mismo nivel de protección, independientemente del tamaño de la organización o la cantidad de datos que procesa. Por lo tanto, el Grupo de Trabajo considera que todos los responsables deben actuar de conformidad con la ley, aunque esto se puede hacer de manera escalable". Es decir, el contexto en el que tenga lugar un determinado tratamiento de datos no exime a los responsables de sus obligaciones a fin de proporcionar a los interesados el nivel de protección adecuado en cada caso con independencia de dicho contexto (desarrollo, preproducción o producción), y ello incluye el análisis de necesidad, proporcionalidad y de las bases jurídicas aplicables, además del resto de obligaciones exigidas en la normativa de protección de datos.
No aplicar la medidas técnicas y organizativas adecuadas al nivel de riesgo para los derechos y libertades en todos los entornos supone una vulneración del artículo 32 del RGPD e incluso puede suponer una vulneración de otros principios como los principios de finalidad, necesidad y proporcionalidad.
Fuente original de la noticia