big_data_buenas_practicas

La analítica masiva de datos, o Big Data, es el nombre que se le da al conjunto de tecnologías, algoritmos y sistemas empleados para recolectar y almacenar datos y extraer información de valor de ellos mediante sistemas analíticos avanzados, todo ello llevado a cabo sobre ingentes y variados volúmenes de datos.

Las iniciativas de Big Data, pueden aportar valor a las organizaciones gracias a la capacidad de tratar grandes colecciones de datos y desarrollar inferencias y detectar correlaciones que llevan aparejadas enormes posibilidades de desarrollo de negocio. Sin embargo, también conllevan importantes retos para las organizaciones de cara a preservar la privacidad de los sujetos de los datos, y por tanto requiere la adopción de acciones y soluciones de tipo jurídico, organizativo y técnico.

En primer lugar, es necesario valorar si la iniciativa requiere datos asociados a una persona concreta, identificable o que pudiera ser identificada. Si de este primer análisis se determina que no resulta necesario, sería recomendable implantar una serie de medidas:

Procesos de disociación que aseguren como resultado la anonimización del conjunto de datos a usar, entendida como la separación de los datos de los sujetos a los que refieren. La normativa de protección de datos no aplica a datos disociados siempre que la disociación sea irreversible.

Sellos de tiempo que garantizan la fecha y hora en la que se realizó la anonimización, algoritmos de firma electrónica para garantizar la identidad de quien ha realizado.

Política de anonimización para reflejar de forma justificada las actuaciones llevadas a cabo para proteger la privacidad de los interesados. Accesible al personal implicado en el tratamiento de datos anonimizados.

Garantías jurídicas adicionales para preservar los derechos de los interesados: acuerdos de confidencialidad y cláusulas contractuales que garanticen la privacidad de la información incluso cuando haya brechas de reidentificación; y compromisos de mantenimiento de la anonimización de la información suscritos con los posibles destinatarios de la misma así como de no realizar ninguna acción para re-identificarla o auditorías de uso de la información anonimizada.

Proyecto Piloto: la realización de un proyecto piloto con una pequeña muestra de datos de prueba (no reales) para extraer de forma objetiva conclusiones con respecto a la viabilidad de las técnicas de anonimización propuestas y del procedimiento de anonimización.

Si por el contrario, la iniciativa de procesamiento de datos requiere tratamiento de datos personales habrá de tenerse en cuenta la aplicación de la normativa de protección de datos. Habida cuenta del contexto en el que nos encontramos, habrán de observarse tanto la normativa nacional actual (LOPD y RLOPD) como la reciente normativa europea (Reglamento General de Protección de Datos –RGPD-), aplicable a partir de mayo de 2018.

Será por tanto necesaria la adopción de soluciones y/o acciones en observancia de ambos textos legales:

Privacy By design: con carácter previo a cada iniciativa habrá de documentarse una Política de protección de datos vinculante y aplicable, que asegure y evidencie la verificación de cumplimento de las exigencias legales y que contemple, como mínimo, los siguientes aspectos:

- Limitación del tratamiento de datos personales al mínimo imprescindible.
- Licitud del tratamiento en cuanto a que su origen sea legítimo, su tratamiento sea proporcional y no excesivo.
- Limitación del tratamiento a las finalidades informadas y, en su caso, consentidas.
- Transparencia, en cuanto a la actitud del personal en la asunción del compromiso de actuar conforme a los objetivos de cumplimiento.
- Formación al personal en el contenido de la misma.
- Mecanismos de evaluación de su fiabilidad y efectividad.
- Auditorías externas y/o internas de su cumplimiento.
- Evidencia del cumplimiento normativo para demostrar diligencia debida o responsabilidad proactiva de la empresa en el cumplimiento de sus obligaciones.

Nombramiento de un Delegado de Protección de Datos, que asegure y verifique su cumplimiento. Nombramiento obligatorio con el RGPD cuando la actividad principal del negocio consista en operaciones de transformación que requieran de un seguimiento regular o sistemático de los interesados a gran escala.

Notificación del fichero a la Agencia Española de Protección de Datos (AEPD): cuya finalidad sea la implantación de iniciativas de Big Data o declarar esta finalidad en aquellos ya declarados que se encuentren afectados por dichos fines.

Cláusulas de consentimiento informado al interesado: transparentes, expresas, precisas e inequívocas sobre las finalidades previstas, tales como, la elaboración de perfiles y modelos predictivos basados en la información del individuo, sus patrones de conducta, hábitos y preferencias, así como, en un futuro, sobre los criterios lógicos, o algoritmos utilizados para la creación de su perfil y de las consecuencias que la creación de esos perfiles tendrán para los mismos y, a partir de la cual, se obtenga el consentimiento libre, específico, informado e inequívoco, de los afectados.

Deberán tenerse en cuenta aquellos supuestos en que los datos se hayan obtenido de fuentes distintas del interesado.

Derechos: Disponer de Protocolos de Actuación de ejercicios de derechos de acceso, rectificación, cancelación u oposición al tratamiento y/o de revocación del consentimiento para la gestión de las solicitudes de ejercicio de tales derechos derivadas de esta tipología de iniciativas.

La posibilidad de revocación del consentimiento requiere de controles organizativos y técnicos para hacerlo efectivo.

Regularización de cláusulas o contratos de Encargo del Tratamiento: cuando la iniciativa cuente con la participación de colaboradores externos o prestadores de servicios, se deberá regular contractualmente el acceso a los datos, con referencia a las medidas de seguridad que el colaborador deberá observar.

Realización de Evaluaciones de Impacto para la Protección de Datos (EIDP o PIA, por sus siglas en inglés): es, básicamente, un ejercicio de análisis de riesgos para detectar los que puede entrañar el nuevo producto o servicio para las personas cuyos datos trata.

Concretamente el RGPD, establece la necesidad de realizar la EIPD siempre que se lleven a cabo elaboraciones de perfiles, en especial si sobre el resultado del tratamiento se basan decisiones que produzcan efectos jurídicos sobre el individuo, o pueden afectar de manera significativa.

Una metodología muy adecuada para llevar a cabo la Evaluación de Impacto para la Protección de Datos EIPD, ante una iniciativa de Big Data, sería la propuesta por la AEPD en su Guía para la Evaluación de Impacto para la Privacidad (1) publicada en 2014.

En función de los resultados del análisis de riesgos (riesgos respecto de los derechos fundamentales de los interesados), habrá que implantar las medidas técnicas que se consideren idóneas para asegurar la privacidad: las técnicas de disociación ya mencionadas o técnicas de cifrado u otras para protección de la información, correspondientes al nivel de seguridad de la tipología de datos personales que sean objeto del tratamiento.

Con base en los riesgos para la privacidad inherentes a las iniciativas de Big Data, y las posibles acciones para su idónea gestión, el Data Privacy Institute ha elaborado un “Código de buenas prácticas de protección de datos para proyectos de Big Data”, en el cual se abordan los aspectos que deben tenerse en cuenta ante iniciativas y/o proyectos de esta tipología, con el objetivo de constituir un documento útil y de interés para muchas organizaciones.

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una asociación sin ánimo de lucro, cuyo objetivo es que todas las empresas, organismos públicos y privados y profesionales del sector colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en materia de seguridad de la información. Ya son más de 150 las empresas y más de 900 profesionales asociados.

La Asociación organiza anualmente uno de los eventos de referencia en el sector: las Jornadas Internacionales de Seguridad de la Información. Un congreso que, en sus 19 ediciones, mantiene una asistencia media de 600 profesionales y expertos en Seguridad de la Información, ejecutivos y altos directivos representando a las empresas más importantes de España; y por el que han pasado más de 620 representantes de instituciones y expertos nacionales e internacionales.

Además la Asociación actúa como un paraguas de las principales corrientes del sector, albergando distintas iniciativas, que abordan desde una perspectiva global o especializada la Seguridad de la Información: Data Privacy Institute, Cloud Security Alliance, Cyber Security Centre, Centro de Estudios en Movilidad, el portal Protegetuinformacion.com, workshops mono marca sobre materias concretas y actividades de formación. Además, gestiona las certificaciones Certified Data Privacy Professional (CDPP) y Certificate Of Cloud Security Knowledge (CCSK) en castellano para España y Latinoamérica.

Los miembros asociados a ISMS Forum Spain pueden participar en todas las actividades presentadas, así como asistir gratuitamente a todos los eventos organizados por la Asociación, y obtener descuentos para otras actividades de formación y difusión del Sector, entre otras ventajas. Conócenos mejor en www.ismsforum.es.

Esmeralda Saracibar, Miembro del Comité Operativo del Data Privacy Institute de ISMS Forum y Socia del área de Governance, Risk & Compliance de Ecix.
José María del Álamo, Departamento de ingeniería de sistemas telemáticos de la ETSIT de la UPM.

 

Notas:

1-Agencia Española de Protección de Datos (AEPD), Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD). Octubre de 2014. Url:  https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf

Guardar

Guardar

Guardar

Guardar

0
0
0
s2smodern
powered by social2s

En el Blog

ContactAR

Información y matriculación

Facultad de
Ciencias Económicas y Empresariales

  • Paseo Senda del Rey, 11. 28040 Madrid.
  • Email de información:
    Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Este sitio usa cookies

Si sigues navegando entendemos que aceptas nuestra política de cookies Saber más

Acepto

Política de cookies

La Universidad Nacional de Educación a Distancia y el Máster de Big Data y Data Science informa acerca del uso de las cookies en sus páginas web para mejorar los servicios que se prestan a través de la misma.

Las cookies son archivos que se pueden descargar en su equipo a través de las páginas web. Son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información. Entre otros, permiten a una página web almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información obtenida, se pueden utilizar para reconocer al usuario y mejorar el servicio ofrecido.

Aceptación de la Política de cookies

La UNED asume que usted acepta el uso de cookies. No obstante, muestra información sobre su Política de cookies en la parte inferior de cualquier página del portal con cada inicio de sesión con el objeto de que usted sea consciente.

Ante esta información es posible llevar a cabo las siguientes acciones:

  • Aceptar cookies. Se trata de una aceptación tácita, siendo una política aceptada por el hecho de usar el portal web de la UNED.
  • No aceptar las cookies. Abandonar la navegación en el portal web de la UNED.
  • Modificar su configuración de su navegador. Podrá obtener más información sobre qué son las cookies, conocer la Política de cookies de la UNED y modificar la configuración de su navegador.

Otra información de interés

Tipos de cookies

Según la entidad que gestione el dominio desde donde se envían las cookies y trate los datos que se obtengan, se pueden distinguir dos tipos: cookies propias y cookies de terceros.

Existe también una segunda clasificación según el plazo de tiempo que permanecen almacenadas en el navegador del cliente pudiendo tratarse de cookies de sesión o cookies persistentes.

Por último, existe otra clasificación con cinco tipos de cookies según la finalidad para la que se traten los datos obtenidos: cookies técnicas, cookies de personalización, cookies de análisis, cookies publicitarias y cookies de publicidad comportamental.

Para más información a este respecto puede consultar la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos

Cookies utilizadas en la web de la UNED

A continuación se identifican las cookies que están siendo utilizadas en este portal así como su tipología y función:

  • Google Analytics. En su navegador podrá observar esta cookie denominada _ga. Según la tipología anterior se trata de cookies de terceros, de sesión y de análisis. Los datos que se recopilan, procesan y almacenan en la cuenta de la UNED de Google Analytics, están protegidos y se conservan de manera confidencial. Los datos de Google Analytics se utilizan únicamente para fines estadísticos, siendo el único dato considerado como de carácter personal tratado en este servicio la dirección IP.

Puede encontrar más información al respecto e inhabilitar el uso de estas cookies www.google.es/intl/es/analytics/privacyoverview.html

A través de la analítica web se obtiene información relativa al número de usuarios que acceden a la web, el número de páginas vistas, la frecuencia y repetición de las visitas, su duración, el navegador utilizado, el operador que presta el servicio, el idioma, el terminal que utiliza, o la ciudad a la que está asignada su dirección IP. Información que posibilita un mejor servicio de este portal.

  • UsuarioUNEDv2. Cookie de sesión (con un periodo de validez de 12 horas), propia y de tipo técnico, cookie firmada digitalmente únicamente es accesible por otros sistemas mediante SSL. Permite la navegación por el portal de forma personalizada, además de permitir mediante una única validación del usuario en el portal, acceder a otros sistemas y/o servicios de forma transparente, sin necesidad de tener que volver a identificarse
  • ASP.NET_SessionId. Cookie de tipo técnico, propia y de sesión. Cookie generada por el servidor. Esta cookie permite almacenar un identificador único por sesión a través del que es posible vincular datos necesarios para posibilitar la navegación en curso.
  • SSO_SesionID. Cookie de tipo técnico, propia y de sesión. Empleada por el portal corporativo para gestion de privilegios del usuario.
  • JSESSIONID. Cookie de tipo técnico, propia y de sesión. Empleada por componente java del servidor para posibilitar la navegación en curso.

Cómo modificar la configuración de las cookies

Usted puede restringir, bloquear o borrar las cookies de la Universidad Nacional de Educación a Distancia o cualquier otra página web, utilizando su navegador. En cada navegador la operativa es diferente, la función de ‘Ayuda” le mostrará cómo hacerlo.

Ir al principio