Cómo cumplir con el tratamiento de datos personales en entornos de desarrollo

netzima

El tratamiento de datos personales en entornos de desarrollo (tanto en preproducción como en pruebas) presenta una serie de particularidades que las empresas deben conocer. 

Una vez más, se trata de realizar un esfuerzo para garantizar que los datos sensibles quedan protegidos y la privacidad de los usuarios, respaldada. Todo ello, además, de acuerdo a la ley, que recoge el caso de los entornos de desarrollo de forma específica.

Te contamos todo lo que necesitas saber sobre el tratamiento de datos personales en entornos de desarrollo, desde la normativa a seguir, hasta las herramientas más eficaces para lograrlo.

Por qué fijarse en los entornos de desarrollo

De acuerdo a los modelos más extendidos en ingeniería de sistemas, se establece la diferencia entre diferentes tipos de entornos, siendo los más comunes los de desarrollo, preproducción y producción.

La tendencia general supone poner el foco en las brechas de seguridad en el tratamiento de datos personales que ocurren en grandes proyectos y en sistemas de la máxima importancia. 

Es más, precisamente esta falta de atención a los procesos entendidos como secundarios (tales como los entornos de prueba y preproducción) supone precisamente un riesgo mayor. Esto se debe a que, a menudo, se descuidan las medidas técnicas y organizativas necesarias en este tipo de entorno.

De este modo, el entorno de desarrollo se convierte en una peligrosa puerta de acceso a los datos personales. 

Lo correcto, por el contrario, es tener en cuenta las particularidades de los entornos de desarrollo y garantizar que la exposición de datos personales queda limitada al máximo también en este contexto.

También te puede interesar: Anonimización y seudonimización: similitudes y diferencias

Qué dice la ley sobre el tratamiento de datos personales en entornos de desarrollo

La protección de las personas físicas respecto al tratamiento de datos personales es un derecho fundamental reconocido por la Constitución española (los artículos 18.4, la Carta de los Derechos Fundamentales de la Unión Europea (8.1) y el Tratado de Funcionamiento de la Unión Europa (16.1). 

No tomar las medidas adecuadas en este sentido supone vulnerar varios principios y trae consigo importantes sanciones.

Respecto a los entornos de desarrollo en concreto: 

  • El artículo 32 del RGPD sobre la seguridad del tratamiento de datos personales establece que, en toda situación, se deben aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los interesados. Esto incluye el uso de datos personales reales en entornos de preproducción y pruebas.
  • El Supervisor Europeo de Protección de Datos (EDPS) en las “Guidelines on the protection of personal data in IT governance and IT management of EU institutions” provee una serie de indicaciones para el tratamiento de datos personales en entornos de desarrollo: 
    • Establece que se evite el muestreo de datos personales reales, pues se prohíbe utilizar esos datos para fines para los que no fueron recogidos. 
    • Se determina que debe priorizarse el trabajo con datos de prueba creados artificialmente, o datos de prueba derivados de datos reales tras haber eliminado los datos sensibles LPS.
    • En caso de no contar con datos de prueba artificiales suficientemente válidos, solo se utilizarán datos reales de la forma más limitada posible y siguiendo las salvaguardias técnicas y organizativas más estrictas.
  • Finalmente, el Comité Europeo de Protección de Datos establece que el tratamiento de datos personales debe presentar las máximas garantías de seguridad independientemente del contexto en el que se desarrolle. 

Es decir, también en entornos de desarrollo rigen el principio de minimización de datos y el principio de protección de datos desde el diseño y por defecto.

El reto de trabajar en el tratamiento de datos personales en entornos de desarrollo

De lo que hemos visto más arriba en el artículo se desprende que la gestión de datos de 

prueba se convierte en un asunto a solventar de la forma más eficiente posible. 

El objetivo es obtener datos confiables, correctos, complejos y coherentes que, además, cumplan con la normativa y garanticen la privacidad de los usuarios al máximo nivel.

No obstante, la realidad es que el tratamiento de datos personales se ha convertido en un reto para muchas empresas que desconocen cómo realizar este proceso de forma optimizada.

Sin las herramientas adecuadas, la generación de datos de pruebas supone un significativo consumo de esfuerzos, recursos y tiempo. Es más, puede llegar a alcanzar hasta la mitad del tiempo que un ingeniero de pruebas requiere para un desarrollo.

Recomendaciones para el tratamiento de datos personales en entornos de desarrollo 

La propia Agencia Española de Protección de Datos proporciona las siguientes recomendaciones: 

  • Diferenciación clara entre el trabajo en el entorno de desarrollo, la realización de pruebas en preproducción y el despliegue de aplicaciones y servicios en entornos de producción.
  • Evitar el muestreo de datos en entornos de prueba, pues puede llevar a que personas no autorizadas tengan acceso a los mismos.
  • Generar documentación precisa mediante un análisis de necesidad y proporcionalidad.
  • Seguir las medidas técnicas y organizativas recogidas en el artículo 32 del RGPD y de acuerdo con el riesgo del tratamiento.
  • Seguir procesos de anonimización o minimización de riesgos previamente a la prueba. Este último incluye la necesidad de reducir el tratamiento de los datos, la extensión del proceso o limitar la accesibilidad a los mismos o sus plazos de conservación.
  • Empleo de conjuntos de datos sintéticos.
  • Garantía de la eliminación de datos.

La solución para el tratamiento de datos personales en entornos de desarrollo

La herramienta icaria TDM (Test Data Management) se orienta a gestionar eficaz y eficientemente los datos en entornos de desarrollo, ocupándose de las siguientes funciones: 

  • Identificación y enmascaramiento de datos sensibles.
  • Segmentación y movimiento de subconjuntos de datos coherentes desde un entorno origen a un entorno destino.
  • Comprobación automática de resultados.
  • Integración con herramientas de terceros.
  • Inyección de datos de entrada al caso de prueba a demanda.
  • Entrega de datos en formato “autoservicio” o a demanda.
  • Generación de datos sintéticos a partir de plantillas y modelos.
  • Integración con entornos de ejecución de pruebas automatizadas.

Entre los beneficios de esta herramienta se encuentran:

  • Mejorar eficiencias en la ejecución de pruebas, con la consiguiente reducción de costes.
  • Minimizar el tiempo dedicado a la ejecución de pruebas. La herramienta es capaz de reducir los tiempos de espera a la mitad.
  • Generar pruebas más fiables y automatizadas.
  • Cumplimiento de la legislación respecto al tratamiento de datos personales.

¿Quieres saber más sobre cómo cumplir con el tratamiento de datos personales en entornos de desarrollo? Solicita una demo de nuestra herramienta icaria TDM y experimenta de primera mano cómo puede ayudar a tu negocio.

Compartir:

Compartir en facebook
Compartir en twitter
Compartir en pinterest
Compartir en linkedin