El 3 de junio 2020, el SEPD ha organizado su primer seminario en línea de Internet Privacy Engineering Network (IPEN) sobre “el estado del arte de la criptografía y su papel en la protección de privacy y de datos personales”. Con casi 200 participantes, el evento ha suscitado un fuerte interés entre los expertos de privacy, desarrolladores y ingenieros. Por esta razón, el 24 junio 2020 se ha celebrado un segundo webinar IPEN de follow-up sobre el mismo argumento, para profundizar la discusión y explorar aún más todos los aspectos de la criptografía.
¿Que Es la criptografía y quien la necesita por cosa?
Ambos los eventos han sido proyectados para comprender mejor porque tendremos que utilizar la criptografía y que tenemos que saber para su utilizo correcto.
Algunos debates fuertemente politizados del pasado (es decir las “cripto-guerras) no se basaban siempre sobre una analisi profundida de las bases científicas y tecnológica de la criptografía. Han tomado en consideración el uso múltiplo de la criptografía que es necesario para que la nuestra compleja economía y sociedad puedan operar de manera segura: hoy, los instrumentos criptográficos son siempre más utilizados desde privados, empresas, autoridades públicas varias, actividades y para proteger la infraestructura de comunicación basada sobre internet.
Además, con la plena aplicación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea desde el 2018, la criptografía ha obtenido el reconocimiento legal como medio para proteger los derechos fundamentales de las personas en el contexto del tratamiento de datos personales. El GDPR menciona explicitamente la criptografía en diferentes disposiciones (articulos 6 (licitud del tratamiento), 32 (seguridad), 34 (notificación de violación de datos personales), como una potente medida para reducir los riesgos para las personas cuyos datos son procesados, un resultado esencial en un enfoque basado sobre el riesgo del GDPR.
Durante años de experiencia en el campo de ingeniería de privacy, en campo de IPEN, nosotros del SEPD intentamos de contribuir a la discusión sobre la criptografía basada sobre la conciencia y una real comprensión de muchas modalidades en la cual funciona la criptografía, sus capacidades técnicas y sus límites.
La protección de datos necesita de criptografía.
Al evento del 3 junio 2020, el Supervisor Europeo de protección de datos, Wojciech Wiewiórowski, ha explicado la relación entre la protección de datos personales y criptografía desde el punto de vista juridico y politico.
El profesor Bart Preneel director del instituto COSIC de la Universidad de Lovanio y científico capo de una aplicación Bélgica Covid-19, es uno de los principales expertos de criptografía del mundo. Ha ofrecido una panorámica sobre el utilizo actual de la criptografía en la economía y en la sociedad y ha explicado algunos desarrollos técnicos relevantes. Podrían ser necesarias acciones políticas en campo de la criptografía para garantizar una continua utilidad. El continuo progreso técnico en términos de capacidad y disponibilidad de los computer ahora convierte en obsoletos y inseguros algunos viejos instrumentos de criptografía.
Los investigadores Stefano Leucci y Iraklis Symeonidis han presentado una analisi común sobre las comunicaciones digitales y la criptografía durante el Covid-19 desde una prospectiva legal y técnica.
El comisionado de protección de datos de Schleswig-Holstein (Alemania), Marit Hansen, ha ofrecido una perspectiva más exhaustiva sobre los ratos puestas desde la aplicación práctica desde las disposiciones del GDPR sobre la criptografía.
Tecnologías de criptografía y mejoramiento de privacy.
El evento de follow-up del 24 junio 2020 se ha concentrado sobre los ratos y las insidias que pueden verificarse durante el uso de la criptografía. La session afectó también el estado de arte de las tecnologías de mejoras de privacy basadas sobre la criptografía.
La profesora Carmela Troncoso, responsable de Security and Priacy Engineering Lab en EPFL (Suiza) y investigadora principal en el proyecto DP3T (un enfoque al rastreo de contactos decentralizado y respectoso de privacy para limitar la difusion de Covid-19) ha compartido su experiencia en el uso de la criptografía además del secreto de datos compartidos o memorizados. Ejemplos son el uso de la criptografía en el proyecto DP3T, es decir un motor de búsqueda para la protección de privacy implementado para el consorcio internacional de jornalistas investigadores (ICIJ) que permite de buscar y compartir informaciones sin relevar las fuentes o identidad.
Isabel Barberá, experta en seguridad y protección de datos de Utrecht (Países Bajos), habló sobre las posibilidades y los escollos del uso del cifrado en la práctica. Presentó malentendidos comunes y errores de los controladores que aplican cifrado en su negocio diario y propuso un conjunto de acciones para garantizar que el cifrado se complemente con un conjunto de medidas organizativas y técnicas para la seguridad y la protección de datos personales.
El camino por delante
En general, los dos eventos revelaron el gran interés en el tema del cifrado.
Los participantes destacaron el uso diverso de la criptografía, yendo más allá del cifrado de datos en reposo/en transferencia, como permitir la comparación de conjuntos de datos sin obtener acceso a su contenido, y garantizar la des-vinculabilidad de los interesados a acciones o mensajes. Las sesiones de preguntas y respuestas durante los talleres y en las reuniones de creación de redes posteriores también mostraron que los profesionales apreciarían una orientación más práctica.
Existe una clara necesidad de invertir más en la comprensión y el análisis de las tecnologías criptográficas. Tomamos esto como un estímulo para continuar discusiones similares en futuros eventos del IPEN.