Ayuda
Ir al contenido

Dialnet

Resumen de Contribution to software quality control techniques for assessing privacy and data protection

Danny Santiago Guamán Loachamín

  • Los sistemas de software se han convertido en un componente esencial de muchos de los productos y servicios actuales. El correcto funcionamiento de estos sistemas de software (aplicaciones y servicios) es crucial para el beneficio de ciudadanos, organizaciones y la sociedad en general. Sin embargo, como resultado de una investigación multidisciplinar, se encontró que los sistemas de software necesitan garantizar otros requisitos para abordar las preocupaciones relativas a la transparencia, la autonomía, la antidiscriminación y la privacidad, además de su correcto funcionamiento.

    De estas áreas principales, la privacidad es particularmente relevante porque puede crear las condiciones para posibilitar las demás. En este sentido, los órganos reguladores han realizado importantes esfuerzos para abordar las distintas cuestiones relativas a la privacidad. Por ejemplo, en Europa, el Reglamento General de Protección de Datos (RGPD), que es obligatorio desde el 25 de mayo de 2018, es uno de los principales resultados de este esfuerzo. El cumplimiento del RGPD es crucial para las organizaciones porque una violación de la privacidad puede conllevar importantes sanciones económicas. Este marco legal tiene como objetivo garantizar que todos los tratamientos de datos personales, como la recolección o las transferencias internacionales, sean lícitos, justos y transparentes y, en última instancia, preserven la privacidad de las personas. Así, establece un conjunto de requisitos que las organizaciones, incluso las radicadas fuera de la UE, deben cumplir cuando ofrecen servicios dentro de la UE.

    Las técnicas de control de calidad del software (SQC) son de suma importancia para que las diferentes partes interesadas, incluidas las organizaciones y las autoridades de supervisión, verifiquen si los sistemas de software cumplen los requisitos de privacidad y protección de datos a lo largo de todo su ciclo de vida. Por un lado, las organizaciones se esfuerzan por desarrollar sistemas de software que respeten la privacidad. Por lo tanto, las técnicas de SQC son necesarias para comprobar si estos sistemas de software cumplen realmente los requisitos de privacidad y protección de datos establecidos. Para las autoridades de supervisión, las técnicas SQC también son esenciales, ya que son responsables de hacer cumplir los requisitos de protección de datos en un entorno digital constituido por un gran número de aplicaciones y servicios digitales.

    Aunque se han realizado importantes esfuerzos de investigación en este campo, la mayoría de ellos se han extrapolado del ámbito de la seguridad y se centran principalmente en la evaluación de las fugas de datos. No obstante, esto no es suficiente para evaluar el cumplimiento de las regulaciones de privacidad y protección de datos.

    Esta tesis doctoral tiene como objetivo contribuir a la mejora de las técnicas de control de calidad del software (SQC) para evaluar los requisitos de privacidad y protección de datos en los sistemas de software, de modo que puedan integrarse en las actividades de evaluación de las organizaciones y las autoridades de supervisión. En particular, se centra en las técnicas para la evaluación (semi) automática del cumplimiento de las regulaciones de privacidad y protección de datos por parte de los sistemas de software, puesto que se ajustan adecuadamente al ecosistema digital actual. Es decir, las técnicas de SQC deben tener en cuenta que (i) hay un gran número de aplicaciones y servicios en el ecosistema digital, y (ii) los profesionales no son expertos en privacidad y tienen dificultades para comprender la normativa vigente en materia de protección de datos, por lo que la incorporación de conocimientos multidisciplinares en las técnicas SQC automáticas puede contribuir a hacer frente a este problema.

    Para lograr este objetivo, esta tesis se ha realizado en tres etapas principales. En primer lugar, hemos realizado un estudio sistemático de literatura para construir un mapa sobre el estado del arte de las técnicas de SQC para evaluar los requisitos de privacidad y protección de datos en los sistemas de software. El mapa muestra que las técnicas de SQC dirigidas a los artefactos de código son las que más atención reciben por parte de los investigadores y son además las más maduras. Sin embargo, una gran mayoría se centra en la evaluación de la privacidad como confidencialidad (por ejemplo, las fugas de datos), siendo insuficientes para evaluar el cumplimiento de la normativa sobre privacidad y protección de datos. Además, el ecosistema móvil se identifica como un ámbito en el que centrar los esfuerzos de investigación debido a su ubicuidad y al acceso a una gran cantidad de datos personales sensibles, que se comparten con diferentes proveedores de servicios de todo el mundo en un ecosistema complejo.

    En segundo lugar, guiados por los resultados anteriores, analizamos en detalle el proceso de evaluación del cumplimiento de las regulaciones de privacidad y protección de datos por parte de las aplicaciones móviles. Para ello, se instancia el marco metodológico para la evaluación de sistemas de software definido en la norma ISO/IEC/IEEE 29119 y se lo refina con artefactos pertenecientes al ámbito de la privacidad y la protección de datos. Además, se realiza un análisis en profundidad de las técnicas de análisis del comportamiento de las aplicaciones y del análisis de texto de las políticas de privacidad, determinando así los aspectos positivos (que pueden reutilizarse) y los negativos (que deben mejorarse) a lo largo del proceso de evaluación.

    En tercer lugar, se desarrollan las mejoras más prioritarias: i) una técnica de diseño de pruebas para la evaluación del cumplimiento, ii) un entorno de ejecución automatizado, flexible y extensible ―Plataforma CLIIP― y iii) una técnica de SQC totalmente automatizada para evaluar el cumplimiento de los requisitos de transferencias internacionales según RGPD, que incorpora conocimientos multidisciplinares para acortar la brecha entre los dominios legal y técnico. Por último, la técnica de SQC propuesta se valida mediante la realización de un estudio de prevalencia sobre el cumplimiento de las transferencias transfronterizas del RGPD de las aplicaciones populares de la UE de Google Play Store.

    Las contribuciones realizadas a lo largo de esta tesis proporcionan (i) una visión general de las técnicas de SQC para la evaluación de los aspectos de privacidad y protección de datos a lo largo del proceso de desarrollo de sistemas de software, y un análisis en profundidad de las técnicas de SQC dirigidas al ecosistema de aplicaciones móviles, ii) CLIIP, una plataforma para evaluar el cumplimiento de las regulaciones de privacidad y protección de datos en el ecosistema de aplicaciones móviles, iii) una técnica de SQC totalmente automatizada para evaluar el cumplimiento de los requisitos de transferencias internacionales del GDPR y iv) un estudio de prevalencia para comprender mejor las prácticas de datos y el cumplimiento de la regulación de privacidad y protección de datos en el ecosistema de aplicaciones móviles. De este modo, se cumple el objetivo planteado.

    Dado el carácter multidisciplinar de determinados estudios de esta tesis, investigadores nacionales e internacionales han colaborado en la elaboración de estas contribuciones. Estas colaboraciones se han realizado en el marco de proyectos de investigación nacionales e internacionales y de una estancia de investigación en una institución de prestigio. Además, estas contribuciones han sido validadas mediante publicaciones en revistas y congresos relevantes.

Fundación Dialnet

Dialnet Plus

  • Más información sobre Dialnet Plus