ENISA, la Agencia de Ciberseguridad de la Unión Europea, ha publicado un informe recomendando que todas las autoridades deberían fomentar más el uso de la criptografía como medida para salvaguardar datos personales.
El informe menciona las formas de protección de datos personales y/o confidenciales que han sido adquiridos de manera legítima. Existe un claro vínculo entre la privacidad y la criptografía que demuestra cómo esta última puede jugar un papel fundamental en la protección de datos personales y salvaguardar los datos confidenciales recopilados de forma legítima.
El informe presenta un conjunto de requisitos de seguridad para datos personales y técnicas básicas de criptografía. Es importante mencionar la posibilidad de implementar medidas y mecanismos de seguridad de información con el fin de proteger los datos personales. No obstante, la seguridad de la información no cubre todas las cuestiones relacionadas con la privacidad y la protección de datos personales.
De hecho, los datos personales/confidenciales requieren diferentes medidas de protección en las diferentes etapas de su ciclo de vida. Por ello, el informe presenta una versión reducida de la descripción de dicho ciclo de vida. El informe también identifica medidas de seguridad y una introducción a las técnicas criptográficas básicas.
El informe está complementado por un conjunto de recomendaciones técnicas relativas a algoritmos, tamaños clave, parámetros y protocolos. Estas recomendaciones van especialmente dirigidas a desarrolladores de sistemas e ingenieros de mantenimiento en entornos comerciales que se enfrentan a la necesidad de implementar o reemplazar las medidas de protección de datos.
Los tres hallazgos y recomendaciones principales son:
• Las medidas criptográficas son solo una pieza de las muchas que componen el puzzle que representa la privacidad y la protección de datos. No obstante, las medidas criptográficas pueden proporcionar una importante capa de protección en la protección de datos, lo cual reduce el impacto de las violaciones. Las principales partes implicadas (las autoridades de protección de datos, las autoridades de los estados miembros de la UE y los proveedores de servicios) deberían recomendar a usuarios y otros la implementación de medidas de seguridad para la protección de datos personales, al mismo tiempo que deberían confiar en las configuraciones y soluciones de vanguardia diseñadas con este propósito.
• Todas estas partes implicadas podrían usar las recomendaciones y medidas técnicas criptográficas propuestas en otro reciente estudio de ENISA dirigido a los responsables de las tomas de decisiones y especialistas como punto de referencia.
• Se precisa personal especializado que sea capaz de implementar correctamente las medidas criptográficas de protección actualizadas.