“Las API se utilizan cada vez más para transmitir datos y, sujetas a ciertas precauciones, son recomendadas por la CNIL en determinados casos”, indica la Comisión Nacional de Informática y Libertades. En este sentido, para facilitar la aplicación de su reciente recomendación sobre el tema (publicada en julio pasado), el regulador ofrece una metodología y varios ejemplos concretos. Recordando que el uso de API puede resultar beneficioso, especialmente desde el punto de vista de la seguridad en comparación con otros métodos existentes para compartir datos, el regulador desea recordar ciertos puntos a quien los utilice.

“Todas las categorías de API están cubiertas por la recomendación siempre que sean utilizadas por organizaciones para compartir datos personales. La recomendación introduce tres roles técnicos: el titular de los datos; el administrador de API; el reutilizador de datos”, afirma. Por lo tanto, todos los tipos de organizaciones involucradas en el intercambio basado en una API están cubiertas por la recomendación, cualquiera que sea su papel en el intercambio y cualquiera que sea su naturaleza, pública o privada. Asimismo, el alcance se extiende a compartir entre diferentes organizaciones o dentro de una misma estructura, en el marco de una obligación legal, investigaciones científicas, con fines comerciales o no, con o sin restricción. acceso, etc. se especifica.

Índice
  1. Una recomendación sin significado legal
  2. Una multitud de herramientas en las que confiar

Una recomendación sin significado legal

La CNIL también señala que esta recomendación sobre las API no constituye un marco vinculante (en el sentido jurídico del término). Lo mismo se aplica a los tres roles introducidos en la recomendación, que son roles funcionales. Sin embargo, la CNIL prevé ciertas excepciones en materia de responsabilidad jurídica, que cita del siguiente modo: “Cuando un texto prevé el intercambio, la responsabilidad del tratamiento se atribuye entonces a una organización. Cuando se puede acceder a la API sin restricciones, o como datos abiertos, los reutilizadores generalmente solo serán responsables de su propio procesamiento, distinto del procesamiento de datos de apertura a través de la API. Cuando la API es implementada por una organización privada que posee los datos, por iniciativa suya, esta organización será generalmente responsable del procesamiento de su apertura.

Una multitud de herramientas en las que confiar

Para ayudar a implementar sus recomendaciones, la CNIL elabora una lista no exhaustiva de herramientas que pueden ayudar. Esto incluye soluciones de validación de datos que controlan el formato de los datos enviados a través de la API (como validada Por ejemplo) ; herramientas de análisis de código fuente que detectan la presencia de secretos (como GitGuardian); herramientas que automatizan la generación de documentación API (como Pavonearse) ; servicios generales o soluciones de “Gestión de API” (comoAPI general, Gravitee.ioO APIMan.io Por ejemplo). También forman parte de la lista de herramientas recomendadas las desarrolladas por el Estado, como las dedicadas a la gestión de solicitudes de acceso (como Pase de datos diseñado por beta.gouv.fr) o licencias de reutilización de datos (las Licencia abierta 2.0 diseñado por Etalab por ejemplo). Por último, la CNIL cita API destinadas a facilitar el ejercicio de los derechos, tomando el ejemplo de API de privacidad de Atlassian. “Sin embargo, estas herramientas no son adecuadas para todas las situaciones, y su uso debe evaluarse caso por caso”, especifica.

Para ilustrar mejor su recomendación, la CNIL presenta algunos ejemplos para encontrar en el apéndice de su documento. Nos encontramos así con la cuestión del intercambio restringido de datos entre varias organizaciones con contractualización, el intercambio de datos entre redes sociales e investigadores, la apertura de datos administrativos, el intercambio cerrado de datos entre servicios de una organización o incluso el intercambio de datos que involucra a la interesado.

Por último, la organización no deja de lado los riesgos vinculados a una API. “El método propuesto tiene como objetivo promover buenas prácticas aplicables al uso de API. Debe complementarse con un análisis de riesgos de acuerdo con las recomendaciones de la CNIL y de Anssi para garantizar la seguridad de todo el tratamiento. Se destacan así los factores de riesgo a tener en cuenta. Esto incluye: el tipo de acceso a la base de datos (solo lectura o escritura), las condiciones de acceso a los datos, el nivel de seguridad de las técnicas de autenticación utilizadas, la naturaleza de las organizaciones involucradas en el intercambio, las categorías de datos accesibles. por la API o la granularidad de los datos y consultas.