big_data_buenas_practicas

La analítica masiva de datos, o Big Data, es el nombre que se le da al conjunto de tecnologías, algoritmos y sistemas empleados para recolectar y almacenar datos y extraer información de valor de ellos mediante sistemas analíticos avanzados, todo ello llevado a cabo sobre ingentes y variados volúmenes de datos.

Las iniciativas de Big Data, pueden aportar valor a las organizaciones gracias a la capacidad de tratar grandes colecciones de datos y desarrollar inferencias y detectar correlaciones que llevan aparejadas enormes posibilidades de desarrollo de negocio. Sin embargo, también conllevan importantes retos para las organizaciones de cara a preservar la privacidad de los sujetos de los datos, y por tanto requiere la adopción de acciones y soluciones de tipo jurídico, organizativo y técnico.

En primer lugar, es necesario valorar si la iniciativa requiere datos asociados a una persona concreta, identificable o que pudiera ser identificada. Si de este primer análisis se determina que no resulta necesario, sería recomendable implantar una serie de medidas:

Procesos de disociación que aseguren como resultado la anonimización del conjunto de datos a usar, entendida como la separación de los datos de los sujetos a los que refieren. La normativa de protección de datos no aplica a datos disociados siempre que la disociación sea irreversible.

Sellos de tiempo que garantizan la fecha y hora en la que se realizó la anonimización, algoritmos de firma electrónica para garantizar la identidad de quien ha realizado.

Política de anonimización para reflejar de forma justificada las actuaciones llevadas a cabo para proteger la privacidad de los interesados. Accesible al personal implicado en el tratamiento de datos anonimizados.

Garantías jurídicas adicionales para preservar los derechos de los interesados: acuerdos de confidencialidad y cláusulas contractuales que garanticen la privacidad de la información incluso cuando haya brechas de reidentificación; y compromisos de mantenimiento de la anonimización de la información suscritos con los posibles destinatarios de la misma así como de no realizar ninguna acción para re-identificarla o auditorías de uso de la información anonimizada.

Proyecto Piloto: la realización de un proyecto piloto con una pequeña muestra de datos de prueba (no reales) para extraer de forma objetiva conclusiones con respecto a la viabilidad de las técnicas de anonimización propuestas y del procedimiento de anonimización.

Si por el contrario, la iniciativa de procesamiento de datos requiere tratamiento de datos personales habrá de tenerse en cuenta la aplicación de la normativa de protección de datos. Habida cuenta del contexto en el que nos encontramos, habrán de observarse tanto la normativa nacional actual (LOPD y RLOPD) como la reciente normativa europea (Reglamento General de Protección de Datos –RGPD-), aplicable a partir de mayo de 2018.

Será por tanto necesaria la adopción de soluciones y/o acciones en observancia de ambos textos legales:

Privacy By design: con carácter previo a cada iniciativa habrá de documentarse una Política de protección de datos vinculante y aplicable, que asegure y evidencie la verificación de cumplimento de las exigencias legales y que contemple, como mínimo, los siguientes aspectos:

- Limitación del tratamiento de datos personales al mínimo imprescindible.
- Licitud del tratamiento en cuanto a que su origen sea legítimo, su tratamiento sea proporcional y no excesivo.
- Limitación del tratamiento a las finalidades informadas y, en su caso, consentidas.
- Transparencia, en cuanto a la actitud del personal en la asunción del compromiso de actuar conforme a los objetivos de cumplimiento.
- Formación al personal en el contenido de la misma.
- Mecanismos de evaluación de su fiabilidad y efectividad.
- Auditorías externas y/o internas de su cumplimiento.
- Evidencia del cumplimiento normativo para demostrar diligencia debida o responsabilidad proactiva de la empresa en el cumplimiento de sus obligaciones.

Nombramiento de un Delegado de Protección de Datos, que asegure y verifique su cumplimiento. Nombramiento obligatorio con el RGPD cuando la actividad principal del negocio consista en operaciones de transformación que requieran de un seguimiento regular o sistemático de los interesados a gran escala.

Notificación del fichero a la Agencia Española de Protección de Datos (AEPD): cuya finalidad sea la implantación de iniciativas de Big Data o declarar esta finalidad en aquellos ya declarados que se encuentren afectados por dichos fines.

Cláusulas de consentimiento informado al interesado: transparentes, expresas, precisas e inequívocas sobre las finalidades previstas, tales como, la elaboración de perfiles y modelos predictivos basados en la información del individuo, sus patrones de conducta, hábitos y preferencias, así como, en un futuro, sobre los criterios lógicos, o algoritmos utilizados para la creación de su perfil y de las consecuencias que la creación de esos perfiles tendrán para los mismos y, a partir de la cual, se obtenga el consentimiento libre, específico, informado e inequívoco, de los afectados.

Deberán tenerse en cuenta aquellos supuestos en que los datos se hayan obtenido de fuentes distintas del interesado.

Derechos: Disponer de Protocolos de Actuación de ejercicios de derechos de acceso, rectificación, cancelación u oposición al tratamiento y/o de revocación del consentimiento para la gestión de las solicitudes de ejercicio de tales derechos derivadas de esta tipología de iniciativas.

La posibilidad de revocación del consentimiento requiere de controles organizativos y técnicos para hacerlo efectivo.

Regularización de cláusulas o contratos de Encargo del Tratamiento: cuando la iniciativa cuente con la participación de colaboradores externos o prestadores de servicios, se deberá regular contractualmente el acceso a los datos, con referencia a las medidas de seguridad que el colaborador deberá observar.

Realización de Evaluaciones de Impacto para la Protección de Datos (EIDP o PIA, por sus siglas en inglés): es, básicamente, un ejercicio de análisis de riesgos para detectar los que puede entrañar el nuevo producto o servicio para las personas cuyos datos trata.

Concretamente el RGPD, establece la necesidad de realizar la EIPD siempre que se lleven a cabo elaboraciones de perfiles, en especial si sobre el resultado del tratamiento se basan decisiones que produzcan efectos jurídicos sobre el individuo, o pueden afectar de manera significativa.

Una metodología muy adecuada para llevar a cabo la Evaluación de Impacto para la Protección de Datos EIPD, ante una iniciativa de Big Data, sería la propuesta por la AEPD en su Guía para la Evaluación de Impacto para la Privacidad (1) publicada en 2014.

En función de los resultados del análisis de riesgos (riesgos respecto de los derechos fundamentales de los interesados), habrá que implantar las medidas técnicas que se consideren idóneas para asegurar la privacidad: las técnicas de disociación ya mencionadas o técnicas de cifrado u otras para protección de la información, correspondientes al nivel de seguridad de la tipología de datos personales que sean objeto del tratamiento.

Con base en los riesgos para la privacidad inherentes a las iniciativas de Big Data, y las posibles acciones para su idónea gestión, el Data Privacy Institute ha elaborado un “Código de buenas prácticas de protección de datos para proyectos de Big Data”, en el cual se abordan los aspectos que deben tenerse en cuenta ante iniciativas y/o proyectos de esta tipología, con el objetivo de constituir un documento útil y de interés para muchas organizaciones.

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una asociación sin ánimo de lucro, cuyo objetivo es que todas las empresas, organismos públicos y privados y profesionales del sector colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en materia de seguridad de la información. Ya son más de 150 las empresas y más de 900 profesionales asociados.

La Asociación organiza anualmente uno de los eventos de referencia en el sector: las Jornadas Internacionales de Seguridad de la Información. Un congreso que, en sus 19 ediciones, mantiene una asistencia media de 600 profesionales y expertos en Seguridad de la Información, ejecutivos y altos directivos representando a las empresas más importantes de España; y por el que han pasado más de 620 representantes de instituciones y expertos nacionales e internacionales.

Además la Asociación actúa como un paraguas de las principales corrientes del sector, albergando distintas iniciativas, que abordan desde una perspectiva global o especializada la Seguridad de la Información: Data Privacy Institute, Cloud Security Alliance, Cyber Security Centre, Centro de Estudios en Movilidad, el portal Protegetuinformacion.com, workshops mono marca sobre materias concretas y actividades de formación. Además, gestiona las certificaciones Certified Data Privacy Professional (CDPP) y Certificate Of Cloud Security Knowledge (CCSK) en castellano para España y Latinoamérica.

Los miembros asociados a ISMS Forum Spain pueden participar en todas las actividades presentadas, así como asistir gratuitamente a todos los eventos organizados por la Asociación, y obtener descuentos para otras actividades de formación y difusión del Sector, entre otras ventajas. Conócenos mejor en www.ismsforum.es.

Esmeralda Saracibar, Miembro del Comité Operativo del Data Privacy Institute de ISMS Forum y Socia del área de Governance, Risk & Compliance de Ecix.
José María del Álamo, Departamento de ingeniería de sistemas telemáticos de la ETSIT de la UPM.

 

Notas:

1-Agencia Española de Protección de Datos (AEPD), Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD). Octubre de 2014. Url:  https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf

Guardar

Guardar

Guardar

Guardar