Cifrado de datos en tránsito por EEUU – Opinión del CEPD

El punto 84 de las recomendaciones del CEPD relativas a las medidas adicionales a aplicar a las transferencias a terceros países, especialmente a EEUU, toca el delicado tema del enrutamiento.

En este punto 84 se describe el escenario cotidiano del responsable del tratamiento que envía datos personales a través de internet, a un país que garantiza una adecuada protección, siguiendo una ruta que pasa por un tercer país como EEUU.

Todos sabemos que la función de los rúters es la de encaminar paquetes IP a través de una red en la que el camino más rápido no es necesariamente el más corto. De manera parecida a las calles y las carreteras, Internet también tiene sus horas punta, en las que es más rápido utilizar rutas alternativas que son más largas que la ruta directa al destino propuesto.

En el artículo titulado “Qué ruta sigue un correo que enviamos de Jaén a Madrid” se explica muy bien cómo se establece una ruta en Internet, y cómo puede darse el caso muy habitual de que el mensaje siga la ruta Jaén-Estados Unidos-Reino Unido-Madrid.

El punto 84 de las recomendaciones del CEPD reconoce la posibilidad de que los datos transmitidos a través de Internet sean encaminados a través de un país que no suministre una protección equivalente. La probabilidad de que este país sea EEUU es muy alta, dado el control que las empresas norteamericanas tienen sobre la infraestructura de transporte de Internet.

El CEPD analiza el cifrado de la capa transporte como una posible solución, pero recomienda que los protocolos de cifrado utilizados sean de última generación y que proporcionen una protección eficaz contra los ataques activos y pasivos que las autoridades públicas del tercer país puedan realizar con los recursos conocidos que tienen a su disposición.

El descifrado de los datos sólo debe ser posible fuera del tercer país en cuestión.

Las partes implicadas en la comunicación deben acordar el uso de una autoridad certificadora de clave pública o de una infraestructura confiables.

Deben utilizarse medidas específicas de protección de última generación contra los ataques activos y pasivos contra el cifrado de la capa de transporte.

En caso de que el cifrado de la capa transporte no proporcione por sí misma la seguridad adecuada debido a las vulnerabilidades de la infraestructura o el software utilizado, los datos personales también deben ser cifrados de extremo a extremo en la capa de aplicación usando métodos de cifrado de última generación.

Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del tercer país, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

El exportador de los datos tiene que verificar que no existan puertas traseras en el hardware y en el software utilizado.

Las claves deben ser gestionadas de manera fiable (generadas, administradas, almacenadas, si procede, vinculadas a la identidad del destinatario previsto, y revocadas), por el exportador o por una entidad en la que éste confía bajo una jurisdicción que ofrece un nivel de protección esencialmente equivalente.

Si se cumplen todos estos requisitos, el CEPD considera que el cifrado de la capa de transporte, si es necesario en combinación con el cifrado del contenido de extremo a extremo, proporciona una medida adicional eficaz.

Otra medida interesante, a pesar de sus limitaciones, es la configuración del enrutamiento por parte del exportador de los datos. Ejemplo en Gmail.

Teniendo en cuenta estas recomendaciones y el hecho de que un simple correo electrónico enviado de Europa a Europa puede contener datos personales que viajen por rúters y segmentos de la red controlados por terceros países como EEUU, cabe preguntarse si las administraciones públicas europeas, las autoridades de control e incluso los activistas que más han luchado contra las transferencias sin garantías adecuadas a EEUU, están aplicando estas medidas.

IINFORMACIÓN ADICIONAL

Seguridad de la capa de transporte.
Capa de aplicación.
Cifrado de extremo a extremo.
Configuración del enrutamiento en Gmail.
Cifrado del correo electrónico con S/MIMEE en Gmail.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.