Desarrollo y evaluación de riesgos de privacidad en una App de rastreo

Abstract

El trabajo aquí plasmado consiste en el diseño y desarrollo, junto a Juan Velázquez García, de una aplicación de rastreo de contactos, sobre la cual se elabora una evaluación de riesgos e impacto en la privacidad del usuario usando la herramienta PIA de la Commission Nationale de l’Informatique et des Libert´es o CNIL (Francia), la cual implementa el Reglamento General de Protección de Datos. Para ello, primeramente se realiza una profunda investigación sobre las aproximaciones para el desarrollo de aplicaciones de rastreo de contactos, la normativa entorno a ello y algunos casos existentes. También qué características poseen y los datos que obligatoriamente deben tratar. Una vez estudiado el Estado del Arte, se elicitan aquellos requisitos necesarios para realizar una aplicación de rastreo de contactos. Posteriormente, se realiza un estudio sobre el tipo de protocolos y paradigmas existentes en este área, se elige aquel que mejor se adapte al análisis de requisitos previamente realizado, y con ello se plantea y diseña la aplicación. Durante todo este proceso se tiene en mente, siempre en primera instancia, la privacidad de los datos del usuario. Tras ello, se ha desarrollado un prototipo de la aplicación empleando la técnica Pair Programming. Esto abarca tanto el desarrollo de la aplicación cliente como del servidor. También se logran los distintos tipos de comunicaciones existentes entre ellos, Bluetooth, TCP y UDP. Se comentan los distintos problemas que pudieran haber surgido durante el desarrollo de la aplicación y los cambios que se han tenido que realizar para poder ajustar el proyecto a la planificación sin grandes repercusiones. Para demostrar el correcto funcionamiento de todo ello, se ha elaborado una lista de Casos de Prueba, clasificados en Caja Negra o Caja Blanca, Funcionales o No Funcionales, y aspecto concreto a tratar (seguridad, disponibilidad, interacción y comunicación). Se describe el procedimiento llevado a cabo para el éxito de cada uno de ellos, así como los distintos problemas que hayan podido surgir durante las pruebas y cómo se solventaron. Una vez probado el correcto funcionamiento de la aplicación, se realiza una evaluación de riesgos e impacto en la privacidad. Para ello, se especifica primero el Estado del Arte, los distintos aspectos del Reglamento General de Protección de Datos a tratar en dicha evaluación, así como una presentación de la herramienta PIA, de la Commission Nationale de l’Informatique et des Libertés (CNIL), la cual será empleada para efectuar el análisis de riesgos y privacidad a la aplicación. Detectadas las principales amenazas, se elabora una serie de salvaguardas con el fin de disminuir, para cada una, el riesgo de que esta se produzca. Finalmente, se elabora una serie de conclusiones, así como una comparativa de este tipo de aplicaciones, sus vulnerabilidades y ventajas, frente a otras propuestas que han ido surgiendo a lo largo del año 2021 en la Unión Europea, territorio bajo la normativa del RGPD.

This project aims to study some privacy standards, speci cally, the proposals from the administrative authority, Commission Nationale de l'Informatique et des Libertés (CNIL). Likewise, the current state of affairs regarding mobile contact-tracing apps' privacy risks will be reviewed. A risk evaluation will be proposed as a conclusion from the aforementioned standards. Therefore, a prototyped app based on the current Covid contact-tracing applications will be developed, together with Juan Velázquez García, and the previously-established proposal will be applied to it. Finally, a series of conclusions from this study will be presented in further detail.