El artículo 20 del RGPD regula la portabilidad de los datos personales, es decir, el derecho que tiene cualquier interesado a recibir los datos que una organización responsable de su tratamiento, normalmente con la intención de proporcionárselos a otra organización, que podrá continuar prestando el servicio con los datos de manera similar a como lo hacía el primer prestador, simplemente para tener un backup de nuestros datos. Este concepto, más evolucionado en el sector de las telecomunicaciones, ha permitido que podamos llevar nuestra línea de teléfono de un proveedor a otro.

 

La norma internacional ISO/IEC 19941:2017- Information technology — Cloud computing — Interoperability and portability, establece una guía sobre la interoperabilidad y la portabilidad de la computación en la nube.

 

El auge de numerosas plataformas en la nube donde introducimos nuestros datos, y que ofrecen similares servicios tales como: correo electrónico, redes sociales, portales de empleo, servicios de TV y música, etc. ha mostrado la necesidad de un derecho esencial para el desarrollo y evolución de nuestra identidad y vida digital. Pero, ¿cuál es el problema para poner esto en la práctica? La respuesta es sencilla, la heterogeneidad de las estructuras de datos que almacenan la información de una empresa a otra, hace prácticamente imposible que este derecho pueda llevarse a cabo de una manera fiable y casi transparente para el titular de los datos, imaginemos poner de acuerdo a gigantes como Google, Microsoft, Facebook o Twitter.

Pues precisamente en eso se basa este proyecto abierto, porque todavía se encuentra en fase de desarrollo, cuyo contenido puede consultarse en github:

https://github.com/google/data-transfer-project/blob/master/Documentation/Developer.md

 

El proyecto denominado “Data Transfer Project” pretende crear una plataforma de portabilidad de datos que permitirá intercambiar información entre diversas aplicaciones. El objetivo principal es lograr una colaboración de organizaciones comprometidas con la construcción de un marco de trabajo común de código abierto que permitirá la conexión de cualquier proveedor de servicios en línea, y permitir de esta manera, mover los datos entre las plataformas de manera segura.

 

El proyecto funcionará a través de 3 componentes principales:

 

  • Modelos de datos: Basados en categorías verticales (música, fotos, emails, contactos…) que facilitarán el intercambio de datos entre plataformas y el diseño de las APIs para el acceso a los datos. Contendrán los ficheros de datos y metadatos que describirán cada fichero. El uso de modelos de datos comunes permitirá hacer más fácil y rápido el intercambio de datos entre las organizaciones sin perder tiempo en diseñar y mantener APIs propietarias

 

  • Adaptadores: Adaptadores de datos y Adaptadores de autenticación. Estos adaptadores pueden ser escritos por el propio proveedor, o por terceros que deseen habilitar la transferencia de datos hacia y desde un proveedor. Los adaptadores son piezas de código que traducen las API de un proveedor determinado en modelos de datos utilizado por el DTP.

Los adaptadores de datos vienen en pares: un exportador que traduce del API del proveedor en el Modelo de datos, y un importador que traduce del Modelo de datos a la API del proveedor.

Los adaptadores de autenticación son piezas de código que permiten a los usuarios autenticar sus cuentas antes de transferir datos desde o hacia otro proveedor. Es probable que OAuth sea la opción para la mayoría de los proveedores, sin embargo, el DTP es independiente del tipo de autenticación.

  • Las bibliotecas de gestión de tareas manejan tareas en segundo plano, como llamadas entre los dos Adaptadores, almacenamiento seguro de datos, reintentos, limitación de transferencias, gestión de paginación, manejo de fallos y notificaciones individuales.

 

Seguridad y Privacidad

Como no podría ser de otra forma, la seguridad y privacidad son principios básicos que regirán el proyecto. Se han contemplado los siguientes aspectos: minimización de datos, notificación al usuario antes de cualquier transferencia, limitación de transferencias, revocación de token para impedir que sean reutilizados para repetir transferencias, tokens de autenticación para alcances mínimos para limitar el acceso en caso de tokens robados, retención de datos solo durante el tiempo de la transferencia, protección frente a abuso.

 

Conclusiones

DTP pretende hacer más fácil nuestra vida digital facilitando de manera segura la comunicación de nuestros datos entre proveedores de servicio en internet. Algunos ejemplos que ayudarán a entender este proyecto:

  • Mover nuestros datos, perfil, comentarios y fotos de una red social a otra
  • Podríamos imprimir fotos que tenemos en una red social, a través de un proveedor de internet al poder pasar la información de un lugar a otro
  • Podríamos cambiar nuestro proveedor de música sin perder las listas o preferencias que hayamos creado
  • Podríamos compartir nuestro historial de compra de una cadena de supermercado online a otra

 

 

 

Antonio Martínez

GRC Manager

Áudea Seguridad de la Información