La ingeniería de sistemas establece la conveniencia de trabajar con varios entornos diferenciados: habitualmente, desarrollo, preproducción y producción. De forma general, lo recomendable es trabajar en el entorno de desarrollo, realizar las pruebas en el entorno de preproducción y finalmente desplegar aplicaciones y servicios en el entorno de producción. Desde la óptica de protección de datos, hay que tener en cuenta esta diferenciación y limitar la exposición de datos personales reales, y/o que estén en los sistemas de producción, en las fases de desarrollo y pruebas por el riesgo que puede suponer para los derechos y libertades de las personas.Todavía es habitual encontrar entornos de desarrollo y preproducción en los que las medidas técnicas y organizativas orientadas a implementar las medidas y garantías establecidas en el Reglamento General de Protección de Datos (RGPD) se relajan, o quedan expuestos a internet sin medidas de seguridad o abandonados y en desuso por lo que las medidas de seguridad pronto quedan obsoletas. Pero tampoco hay que olvidar que en algunos casos se empleen datos reales para pruebas de depuración de errores en labores de mantenimiento y/o desarrollo.Con la aplicación del RGPD y la LOPDGDD, la situación respecto al uso de datos personales para pruebas en general, y en particular en entornos de desarrollo, se puede resumir brevemente a continuación.En primer lugar, el RGPD en su artículo 32 Seguridad del tratamiento, establece que el responsable y el encargado de tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los interesados. Luego el responsable y el encargado deben determinar las medidas de seguridad apropiadas con respecto al uso de datos personales reales en entornos de preproducción y pruebas. Además, deben establecer estas medidas teniendo en cuenta el nivel de riesgo específicamente con relación a la protección de datos, de igual forma que han de tener en cuenta los riesgos para la organización, como en cualquier entorno de producción. (…)Conforme al principio de minimización de datos y el principio de protección de datos desde el diseño y por defecto, cuando sea posible debe evitarse la utilización de datos personales en entornos de desarrollo y preproducción, o cualquier otro entorno de pruebas.
Además, las pruebas de software con datos personales son, o forman parte de, tratamientos de datos personales y el responsable del tratamiento debe cumplir con todas las obligaciones que se desprenden del RGPD.
Fuente: AEPD
