ValidaCripto RGPD
La protección de los datos personales es un derecho fundamental que requiere medidas adecuadas para garantizar su seguridad. Una de estas medidas es el uso de sistemas criptográficos que permitan cifrar la información sensible. Actualmente, dos mil millones de personas utilizan diariamente el cifrado para proteger sus comunicaciones (European Digital Rights 2023). En ese sentido, el Reglamento General de Protección de Datos menciona el cifrado como una medida que forma parte de las condiciones para la conformidad del tratamiento y como ayuda para mitigar los riesgos ante una posible brecha de datos personales.
Tras la publicación de las Orientaciones para la validación de sistemas criptográficos en la protección de datos, publicada conjuntamente con ISMS Forum y APEP en mayo de 2023, y debido a la buena acogida que ha tenido tanto nacional como internacionalmente, la herramienta web ValidaCripto RGPD traslada, de una forma, ágil e intuitiva la metodología de evaluación del sistema de cifrado a través de cada uno de los elementos que intervienen en el proceso de cifrado y su adecuación al contexto del tratamiento de datos personales.
La herramienta web es gratuita y se ejecuta localmente en el navegador, sin registrar ni transmitir ningún dato a la AEPD. Cuenta con un apartado de ayuda donde se explica su funcionamiento paso a paso, desde la selección del impacto del sistema de cifrado en el tratamiento, la categorización de los elementos más crítico, el repaso de los controles sugeridos y la generación de una documentación de seguimiento. Su objetivo es ofrecer una solución rápida y eficaz, para poder verificar la idoneidad de los sistemas criptográficos implementados en tratamientos de datos personales, seleccionando en la lista de controles propuestos aquellos que pudieran ser los más oportunos. Los datos pueden almacenarse y cargarse en un archivo local, bajo el control total del usuario, y permite generar informes.
Esta herramienta, como las Orientaciones para la validación de sistemas criptográficos en la protección de datos, está dirigida a los responsables y encargados/subencargados de tratamientos a los que se les aplique el RGPD o la LO 7/2021, que aplican criptografía en sus tratamientos de datos personales. Por lo tanto, también está orientada a los delegados de protección de datos, a los asesores en materia de protección de datos personales, a los auditores de protección de datos, a los especialistas en seguridad, y responsables funcionales de las entidades responsables o encargadas. También se aconseja esta guía a desarrolladores de soluciones de cifrado que estén destinadas al tratamiento de datos personales y, en general, a los desarrolladores de productos y servicios de los sistemas TIC.