Cómo fijar unas normas de enmascaramiento de datos [RGPD, Medida 7]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Con la aprobación del RGPD, las organizaciones tienen una mayor responsabilidad de proteger los datos personales de interesados como clientes actuales y futuros o empleados. Esto incluye anonimizar los datos para controlar la protección de la confidencialidad.

Hace poco celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 7 de este plan consiste en fijar unas normas de enmascaramiento de datos. Para consultar cuáles son las seis primeras medidas, eche un vistazo a los enlaces de la barra lateral.

Watch Practical Steps to GDPR Compliance now.
Watch Now

¿Qué dice el RGPD sobre el enmascaramiento de datos?

El RGPD entiende que, si bien algunos datos de carácter personal pueden revelar directamente la identidad de una persona, otros datos pueden tratarse y almacenarse preservando la confidencialidad.

Minimizar las obligaciones de disponer de datos anónimos

El considerando 26 del RGPD sostiene que los principios de la protección de datos deben aplicarse a toda la información «relativa a una persona física identificada o identificable». Por lo tanto, los principios no son de aplicación a la información anónima o a datos personales que no permitan identificar al interesado.

El artículo 11 del RGPD aborda el tratamiento que no requiere identificación. Si un responsable (una entidad que determina los usos y medios de tratamiento de datos personal) no necesita conocer la identidad del interesado, las obligaciones del responsable según el RGPD se minimizan considerablemente.

En realidad el considerando 26 y el artículo 11 del RGPD reconocen la presencia de información anónima y eximen las organizaciones de mayores obligaciones de seguridad en casos en los que los datos personales permanezcan ocultos.

Enmascarar datos de carácter personal por seguridad

El artículo 32 del RGPD habla de la seguridad del tratamiento. En caso de datos personales confidenciales, el RGPD recomienda que las organizaciones pongan en práctica medidas técnicas y organizativas apropiadas (p. ej., anonimización, seudonimización, etc.) para garantizar un nivel de seguridad adecuado al riesgo.

El departamento de gobernanza de datos deberá establecer controles para enmascarar o cifrar correctamente los datos personales confidenciales. Las normas de enmascaramiento deberán asegurar que los datos no puedan reconstruirse al combinar distintos campos.

Por ejemplo, los científicos de datos pueden exigir que el campo de nombre de un empleado se enmascare antes de realizar analíticas. No obstante, un científico de datos avezado y experimentado podría discernir la identidad de un empleado a partir del cargo, la remuneración y el género (p. ej., «directora de RR. HH., mujer, con una base salarial de 200 000 dólares»). En esta situación podría resultar más adecuado enmascarar también el cargo laboral e indicar una franja salarial, como por ejemplo «más de 100 000 dólares».

Usar Talend para enmascarar datos

Talend Data Quality ofrece enmascaramiento y barajado de datos como componentes básicos que pueden exigirse en cualquier etapa de la canalización de datos (vea la figura 1).

El barajado de datos es un tipo de enmascaramiento que implica barajar al azar una columna (o un conjunto de datos más complejo, como un grupo de columnas o una partición) para mantener oculta su identidad, pero conservando los valores relevantes en su lugar. De esta manera se preserva la confidencialidad, pero pudiendo realizar igualmente la analítica y las pruebas con datos a partir de los valores de datos originales.

enmascaramiento de datos

Figura 1: El enmascaramiento y el barajado de datos pueden aplicarse a flujos de datos por lotes o en tiempo real a través de funciones preconfiguradas o personalizadas.

Con Talend Data Preparation el enmascaramiento también puede exigirse de forma puntual, lo que permite a los usuarios corporativos proteger datos confidenciales antes de compartirlos con sus compañeros. Por ejemplo, un gestor de campañas de marketing que desee comunicar el éxito de una campaña a un socio podrá compartir el conjunto de datos para realizar analíticas después de anonimizar los datos que pudieran revelar información confidencial de forma inapropiada (figura 2).

enmascaramiento de datos

Figura 2: Enmascaramiento de datos en autoservicio para usuarios corporativos en Talend Data Preparation.

Esto es posible porque la herramienta de enmascaramiento de datos es sensible a la semántica y está preconfigurada para información personal identificable típica, como el identificador de correo electrónico, número de teléfono, etc. En el caso del correo, la herramienta puede ocultar la primera parte (lo que va antes de la «@») pero seguir mostrando el nombre de dominio.

Próximas medidas para cumplir con el RGPD

Anteriormente el enmascaramiento de datos era una disciplina especializada que tan solo utilizaban aplicaciones muy concretas. Sin embargo, el RGPD ha producido un cambio y ahora el enmascaramiento forma parte de todo tipo de aplicaciones. Esto también significa que la funcionalidad debe ser simple, tanto para los desarrolladores como para los usuarios de empresa, que no son expertos en enmascarar datos. Así es exactamente como hemos diseñado las soluciones de Talend para el RGPD.

Si ejecutan las medidas 1 a 7 de nuestro exhaustivo plan de 16 medidas sentarán unos buenos cimientos para cumplir con el RGPD. A estas alturas, las organizaciones deberían comprender sus datos y tener unas normas bien definidas sobre cómo obtener, tratar y proteger los datos. El próximo paso consiste en realizar evaluaciones de impacto en materia de protección de datos.

Para consultar las 16 medidas de cumplimiento del RGPD en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El webinar aporta información sobre la creación de normas y controles, la identificación de titulares de datos y elementos de datos cruciales, linaje de datos y mucho más.

| Last Updated: agosto 12th, 2019