TEMA 82

Protecció de Dades, Xifratge i Auditoria

Escolta l'àudio del tema

1. Normativa i Principis (RGPD)

Marc Jurídic Clau

  • RGPD (UE 2016/679): Obligatori pels estats membres (plena aplicació des de 2018).
  • LOPDGDD (LO 3/2018): Adapta l'ordenament espanyol al RGPD.
  • ENS (RD 311/2022): Defineix les mesures de seguretat tècniques i organitzatives aplicables al sector públic.

Principis del Tractament

  • Licitud i transparència: Tractament just i transparent.
  • Finalitat: Recollides per fins explícits i legítims.
  • Minimització: Només les dades adequades, pertinents i limitades.
  • Limitació conservació: Esborrat quan assoleixen la finalitat.
  • Responsabilitat activa (Proactiva): Demostrar el compliment de les obligacions.

2. Rols en Protecció de Dades

Responsable

Determina fins i mitjans del tractament.

  • • Registre Activitats (RAT).
  • • Avaluació d'Impacte (EIPD).
  • • Notificar bretxes a AEPD.
  • • Protecció des del disseny.

Encarregat

Tracta les dades per compte del Responsable (contracte).

  • • Seguir instruccions documentades.
  • • Garantir confidencialitat.
  • • Assistir al Responsable.
  • • Suprimir/tornar dades al finalitzar.

Delegat (DPD)

Assessor i supervisor independent (Obligatori en AAPP).

  • • Informar i assessorar.
  • • Supervisar compliment.
  • • Punt de contacte amb AEPD.
  • • Cooperar amb autoritat control.

3. Adaptació d'Aplicacions i Entorns

Informació i Consentiment

  • Deure d'informació (Capa 1): Info bàsica (Responsable, finalitat, legitimació, drets).
  • Deure d'informació (Capa 2): Info detallada (contacte DPD, terminis, base jurídica, reclamacions).
  • Consentiment: Inequívoc, explícit, lliure (no tàcit). Traçabilitat (gravar l'acció a BD). Separació per finalitats.

Tècniques de Protecció

  • Minimització: Estratègies: Minimitzar, Abstraure, Separar, Ocultar. Ús de PID o Zero-Knowledge Proofs per no emmagatzemar dades.
  • Anonimització: No reversible. Lliure de RGPD.
  • Pseudonimització: Reversible (amb info addicional). Subjecte al RGPD. Ex: funcions Hash robustes.

Avaluació d'Impacte (EIPD) i Gestió d'Incidències

Quan hi ha un alt risc per als drets i llibertats (ex: dades sensibles, perfilat), és obligatori fer una EIPD abans del tractament. Serveix per avaluar necessitat, proporcionalitat i riscos, i establir mesures.

En cas de Bretxa de Seguretat, s'ha de notificar a l'AEPD (en màx. 72h) i als afectats (si hi ha alt risc). S'usen eines com SAT, GLORIA, MONICA o LUCIA (CCN-CERT).

4. Mesures de Seguretat (ENS) i Esborrat

Requisits del ENS (RD 311/2022)

  • [mp.com.2] Confidencialitat: Ús de VPN (Xarxes Privades Virtuals) fora del domini. Productes certificats (CPSTIC) en nivells alts.
  • [mp.info.5] Neteja documents: Eliminar metadades i camps ocults abans de publicar.
  • [mp.si.2] Criptografia: Obligatori en dispositius portàtils a partir de nivell mitjà.
  • Bones pràctiques: Mínims privilegis, doble factor, no usar dades reals en preproducció.

Esborrat, Destrucció i Supressió

Dret a l'Oblit (Art 17 RGPD). L'eliminació depèn del nivell [mp.si.5]:

Nivell Tècnica
Nivell 0 Esborrat simple lògic (acompanyat de control d'accés).
Nivell 1 Sobreescriptura (3 passades).
Nivell 2 Sobreescriptura (7 passades), comandes firmware, xifratge.
Destrucció Trituració, desintegració, esclafament, polvorització.

5. Eines de Xifratge (Criptografia)

El xifratge eximeix de notificar als afectats si hi ha bretxa, perquè la informació és inintel·ligible. Es prioritza en dades sensibles (Art. 9).

Algoritmes Autoritzats (CCN-STIC 807)

  • Simètric (Clau Privada): AES (128, 192, 256 bits). AES-XTS per a discs.
  • Asimètric (Clau Pública/Privada): RSA (≥3000 bits rec., 2048 Legacy), Corbes El·líptiques.
  • Protocols de Comunicació: TLS 1.2 o 1.3, SSHv2, IPSec.

Conceptes Clau

  • Productes Qualificats: Catàleg CPSTIC (Guia CCN-STIC 105).
  • Categories: Xifradors IP, HSM, prevenció fugues (DLP), correu.
  • Alerta (Clau Pública): L'AEPD considera la Clau Pública com a Dada Personal, ja que permet reidentificar/crear perfils enllaçant-la amb metadades o IP.

6. Auditoria (ENS i RGPD)

Procés d'Auditoria

  • Auditoria ordinària obligatòria cada 2 anys (ENS art. 31). Extraordinària en modificacions substancials.
  • Nivell Bàsic: Autoevaluació. Nivells Mitjà i Alt: Auditoria formal certificada.
  • Dictàmens possibles:
    — Favorable.
    — Favorable amb no conformitats (pla correctiu en 1 mes).
    — Desfavorable (cal auditar novament).

Eines d'Ajuda i Compliment

  • De l'AEPD:
    FACILITA (risc baix), EVALÚA-RIESGO, GESTIONA (risc alt / EIPD).
  • Del CCN-CERT:
    PILAR (anàlisi Magerit/riscos i RGPD), AMPARO (implantació i gestió de l'ENS i privacitat), INES (Informe d'Estat de la Seguretat).