A la hora de aplicar criptografía, el uso de una clave es el parámetro determinante. Hay muchas definiciones de qué es una clave. Brevemente, podemos decir que una clave es un parámetro que determina el resultado de un algoritmo criptográfico. Atendiendo a la clave, los sistemas de cifrado se pueden dividir en dos grandes grupos: los cifrados simétricos, donde una única clave cifra y descifra; y los cifrados asimétricos, en los que se precisan de dos claves, una para cifrar, que puede tener carácter público, y otra, para descifrar, que tiene carácter privado y está únicamente en posesión de su legítimo titular. Las dos claves del cifrado asimétrico están vinculadas, pero es muy difícil deducir una de la otra si no se dispone de información adicional.
Los cifrados asimétricos están diseñados para que una de las claves se desvele y sea de libre acceso, la clave pública, por lo que son muy adecuados para su empleo en Internet. De esta forma, el uso de las claves asimétricas no solo permite el cifrado/descifrado de información, sino también realizar la autenticación de personas, la generación o la verificación de firmas, el intercambio de claves simétricas, etc.
Las claves públicas pueden ser empleadas por personas, entidades e incluso máquinas para identificarse, autenticarse o intercambiar información. Cuando se trata de claves públicas que corresponden a personas físicas cabría plantearse si estas claves se pueden considerar datos de carácter personal. A este respecto, tanto la autoridad francesa CNIL (Solutions for a responsible use of the blockchain in the context of personal data) como el Parlamento Europeo (Blockchain and the General Data Protection Regulation) ya han manifestado que son datos personales en el marco de tratamientos específicos.
Para determinar la naturaleza de datos de carácter personal de la clave pública hay que tener en consideración la propia definición de dato personal establecida en el artículo 4:
«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
Fuente: AEPD