h1

Enmascaramiento de datos en la Administración

09/09/2009

Leo en Microsiervos sobre la “anonimización” de los datos, algo en lo que también se ha fijado Enrique Dans en su blog, en el que habla de “reidentificación”. Ambos se refieren a un artículo de Ars Technica denominado “‘Anonymized’ data really isn’t -and here’s why not”, algo así como “Datos anónimos que realmente no lo son -y aquí está el por qué”.

En ese artículo se habla de un estudio que revela que un 87% de los estadounidenses pueden ser identificados en una base de datos utilizando únicamente su código postal, sexo y fecha de nacimiento, o como dicen en Microsiervos, “¿cuántas personas en tu distrito postal puede haber nacido exactamente en la misma fecha que tú y ser también hombre o mujer como tú?”. El estudio añade que más de la mitad de los norteamericanos pueden ser también identificados de forma unívoca disponiendo simplemente de su fecha de nacimiento, localidad y sexo, haciendo poco eficaces los sistemas que tratan de evitar que se relacionen unos datos estadísticos con una identidad concreta.

Que se esté dudando de la efectividad de ciertos modos de hacer anónimos unos datos me sirve de introducción para hablar de su enmascaramiento en el ámbito de la Administración. En un momento en el que nuestros datos personales se replican cada vez en más lugares, unos de ellos controlados y otros totalmente fuera de control (pese a los esfuerzos de la AEPD), la Administración Pública, responsable de custodiar datos muy sensibles sobre todos nosotros, no solo no puede quedarse al margen de su protección, sino que debería liderarla.

A pesar de que casi siempre los entornos de producción tienen unos niveles de seguridad razonables, existen entornos de formación, desarrollo o pre-producción que no siempre cuentan con las mismas garantías. En muchas ocasiones, las bases de datos con información personal están expuestas a la mirada (¿y a la copia?) de un conjunto muy importante de personas que participan en los distintos proyectos, cuyo acceso a datos reales no es en absoluto necesario, haciendo posible una fuga de datos y vulnerando la confidencialidad.

Para evitar estos problemas existen diversos métodos de enmascaramiento de datos (data masking) que indican a las bases de datos el modo de mezclar la información sin perder la integridad referencial pero evitando que pueda vincularse a una persona real concreta. De este modo, las aplicaciones que utilizan estas bases de datos pueden seguir trabajando con ellas sin problemas aunque los desarrolladores visualizan datos aparentemente reales pero que no lo son.

El enmascaramiento de datos es una solución infrautilizada, y no sólo en la Administración. Noel Yuhanna, analista de Forrester, cree que estas soluciones terminarán siendo una característica estándar de cualquier entorno de gestión de bases de datos o aplicaciones empresariales. Yo también lo creo, y además creo que estos sistemas deben ser determinantes en el nuevo capítulo de la guerra por la privacidad de los datos personales.

Se ha avanzado mucho en la legislación que trata de impedir su recopilación, copia, distribución o utilización fraudulenta, pero deben articularse también los mecanismos técnicos a nuestro alcance para proteger la privacidad de los ciudadanos.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: