Home > Blog > Bases de Datos > Código de buenas prácticas en protección de datos para proyectos de Big Data
Código de buenas prácticas en protección de datos para proyectos de Big Data
La Agencia Española de Protección de Datos (AEPD) e ISMS Forum Spain han publicado un “Código de buenas prácticas en protección de datos para proyectos de Big Data”.
Aunque el documento está enfocado a dar pautas para garantizar el cumplimiento de la normativa sobre protección de datos en los proyectos de Big Data, que será aplicable a partir del 25 de mayo de 2018, es útil para conocer el Reglamento ya que a lo largo del mismo se detallan y explican las nuevas obligaciones que deben cumplir las empresas y se puede extrapolar al resto de tratamientos de datos de carácter personal.
El Código se divide en cuatro partes
- ¿Qué es el Big Data?
- Normas y principales obligaciones legales en materia de privacidad
- Principios y aspectos procedimentales
- Medidas tecnológicas para la mejora de la privacidad, seguridad y confianza.
1. ¿Qué es el Big Data?
Como sabéis, el Big Data es un concepto que hace referencia a conjuntos de datos tan grandes, que aplicaciones informáticas tradicionales de procesamiento de datos no son suficientes para tratar con ellos. Característica del Big Data es el gran volumen de información que se plasma en una gran variedad de datos y una acentuada velocidad de respuesta.
Aunque desde un punto de vista legal el Big Data entraña mayores dificultades en relación al origen y procedencia de la información, futuros usos no previstos en el momento de obtener la información, el consentimiento, la generación de perfiles, la monitorización de la conducta, el plazo de conservación, reutilización de datos previamente disociados (anonimización), uso del cloudcomputing etc…
Las obligaciones que deben cumplir las empresas son las mismas que para cualquier tratamiento de datos de carácter personal.
2. Normas y principales obligaciones legales en materia de privacidad
En relación a las normas, actualmente no hay ninguna disposición que específicamente regule el Big Data, la legislación en vigor es la Ley 15/1999 de protección de datos de carácter personal y su reglamento de desarrollo, el Reglamento General de Protección de Datos que fue aprobado el 18 de abril de 2016 y que será aplicable el 25 de mayo de 2018.
Sobre las implicaciones de los tratamientos Big Data en Privacidad hay que tener presentes los cincos puntos que se describen de forma sucinta a continuación:
- El origen de los datos es el primer aspecto que debe tenerse en cuenta en la cadena de tratamientos contemplados en un sistema de Big Data, aunque la diversidad de orígenes mejora la interoperabilidad y aumento de la calidad de los datos personales, supone elevar el nivel de riesgo de incumplir algún principio general de protección de datos como el principio de minimización de datos y limitación de responsabilidad. Para garantizar el cumplimiento de estos principios se debe cumplir lo establecido en el artículo 25 del Reglamento relativo a la protección de datos desde el diseño y por defecto (cumplimento de las normativas sobre protección de datos desde la fase inicial del proyecto para que la privacidad se integre en las nuevas tecnologías y prácticas empresariales directamente) así como el principio del consentimiento que varía considerablemente.
- Transparencia de la información, en este punto se deben conciliar, por un lado, el mayor poder de disposición sobre los datos de carácter personal por los que ha apostado el Reglamento y, por otro lado, la no restricción en el desarrollo del mercado.
- Calidad de los datos y conservación. Ya que en los proyectos de Big Data se procesan grandes cantidades de información, cada empresa debe cumplir con el principio de calidad de los datos (realizar tratamientos compatibles con la finalidad de la recogida, garantizar que los datos estén actualizados etc.)
- Derechos de los interesados. Aspecto fundamental que deben garantizar todas las empresas que traten datos de carácter personal, pues con la nueva regulación se amplía el abanico de derechos.
- Decisiones individuales automatizadas. Merece destacarse que los principios de protección de datos no se aplican a la información anónima, sin olvidar el cumplimiento de los principios relativos al tratamiento legal y transparente de los datos y la prohibición general de adoptar decisiones individualizadas automatizadas basadas en datos personales sensibles.
3. Principios y aspectos procedimentales
No debe olvidarse que constituyen un conjunto de acciones que facilitan el logro del fin propuesto. Entre los principios y aspectos procedimentales se destaca:
- La importancia del concepto ya reseñado en el punto anterior, la privacidad desde el diseño
- El principio de accountability relacionado con la responsabilidad social corporativa, en concreto se refiere a la responsabilidad de las compañías en la implantación de medidas, en el seno de las organizaciones, de garantía y cumplimiento de los principios y obligaciones en materia de protección de datos
- Realización de evaluaciones de impacto para permitir a las empresas determinar si los proyectos que involucran uso de información privada representan riesgos para el derecho a la protección de datos
- Reutilización de datos disociados para garantizar la irreversibilidad de los procesos de anonimización de los datos personales y las relaciones con la autoridad de control. Las empresas deben contemplar la relación e interlocución correspondiente con la autoridad de control.
4. Medidas tecnológicas para la mejora de la privacidad, seguridad y confianza.
Finalmente, el Código recoge las medidas tecnológicas para la mejora de la privacidad, seguridad y confianza, haciendo de nuevo hincapié en que el concepto de privacidad y protección de datos desde el diseño es fundamental para hacer frente a los riesgos y mantener la privacidad en las diferentes etapas de la cadena de valor de los proyectos de Big Data. Sobresale la importancia de que las compañías apliquen medidas técnicas y organizativas especificas con independencia de los procesos de anonimización y disociación de datos, junto con otras para mejorar la confianza mediante la elaboración de códigos de conducta, las certificaciones, sellos o etiquetas para demostrar el cumplimiento de la regulación.
En este apartado debemos de tener en cuenta que la confianza de los ciudadanos se convierte en un aspecto estratégico para que pueda existir un despliegue de las potencialidades de las herramientas analíticas y, para que se produzca esa confianza, es imprescindible que las personas estén convencidas de que se ha tomado en serio su derecho a la privacidad y a la protección de datos; en definitiva que todos los tratamientos realizados se ajustan a la normativa de protección de datos en vigor.
Ángeles Martínez Pérez
DataCentric
Directora Área Legal