L’Agència Espanyola de Protecció de Dades conjuntament amb l’ISMS Forum Spain varen publicar el darrer mes de maig el Codi de bones pràctiques en protecció de dades per a projectes de Big Data.  Amb aquesta guia es pretén globalitzar les apreciacions que es fan des d’ambdues entitats respecte als projectes de Big Data i l’aplicació de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), així com la normativa de desplegament i el Reglament General de Protecció de Dades (RGPD).

S’entén com Big Data a un conjunt de tecnologies, algoritmes i sistemes emprats amb la finalitat de recol·lectar dades a gran escala i extraure informació de valor mitjançant sistemes analítics avançats de forma automatitzada. Aquest tractament sobre les dades es caracteritza per fer-se sobre un gran volum de dades, molt variables i a una velocitat que pot arribar a ser en temps real en alguns casos.

Des d’un punt de vista arquitectònic o bé estructural, un projecte de Big Data pot ser analitzat des de diferents capes principals: la de fonts de dades (origen de la informació), integració d’aquestes a la base de dades, emmagatzematge amb recursos adequats per ser analitzada i gestionada així com, la darrera capa, la presentació i aplicació en diferents processos.

El codi es presenta com una anàlisi de la normativa que operarà a partir del 25 de maig del 2018, el RGPD, i les consideracions que s’han de tenir en compte en cas que l’organització desitgi submergir-se en un projecte de Big Data. Així, recorden la necessitat d’acomplir amb els principis bàsics de la normativa de protecció de dades pel que fa al dret d’informació i el consentiment, lligant-se amb la necessitat d’estructurar-se una organització transparent la qual els usuaris puguin confiar a causa de la constant informació i facilitat de trobar-la en relació als seus drets garantits pel RGPD, és a dir, actualització de les finalitats les quals es recaven les dades sempre lligades a la finalitat inicial que ho varen motivar així com, en especial, informació sobre els drets d’accés, rectificació, supressió, oposició així com els nous drets que s’incorporen, és a dir, limitació, portabilitat o el dret a no ser sotmès a tractaments basats únicament en decisions automatitzades individuals. També, recorda la necessitat de tenir definits i integrats dins del govern intern els principis de minimització de les dades i qualitat, a partir de la qual es recaptin únicament les dades que siguin estrictament necessàries per a l’objectiu que volem assolir i en definitiva, no demanar dades en previsió que puguin ser útils en un futur o definit textualment, dades “per si de cas”.

Fora dels principis bàsics de la normativa de protecció de dades, es recorda la necessitat de regular degudament les relacions amb tercers (encarregats del tractament) i la definició de les responsabilitats de cada agent operatiu dins d’aquest tractament, així com l’assumpció interna del concepte accountability o responsabilitat de l’entitat a implantar mesures i establiment de mecanismes interns i/o externs per avaluar la fiabilitat i poder demostrar la seva efectivitat davant les autoritats de control, així com la privacitat en el disseny (Privacy by design) traduït en la necessitat que qualsevol projecte d’aquestes característiques s’iniciï tenint en compte els principis que la legislació en la matèria estableix amb la finalitat d’evitar haver de redefinir els sistemes i processos contínuament implicant, en el seu cas, despeses associades a la implantació dels requeriments legals.

També es realitza una especial menció a les avaluacions d’impacte o AIPD, a partir de les quals s’aconsella que les organitzacions que les portin a terme abans de l’inici del tractament de dades enfocat al Big Data per tal de poder identificar els riscos associats als processos d’identificació, anàlisi i recol·lecció d’informació especialment pel que fa els processos d’anonimització de les dades i la irreversibilitat en la identificació. Es recorda que és necessari fer una avaluació de les tècniques i procediments d’anonimització per tal d’acreditar que la dissociació realitzada evita que es pugui identificar a una persona física dins del conjunt de dades o que es pugui relacionar o enllaçar la informació d’una persona física a partir de la vinculació de dos registres dins del conjunt de les dades, així com es pugui inferir qualsevol informació sobre la persona física en el conjunt. Finalment, es fa al·lusió a què, davant una conclusió negativa o de riscos als drets dels usuaris en la AIPD, l’Entitat requerirà acudir a l’autoritat de control per tal que aquesta l’assessori.

Es recomana però la realització d’un projecte pilot amb una petita mostra fictícia de dades de la qual es pugui extraure, objectivament, conclusions respecte a la viabilitat de les tècniques d’anonimització i el procediment.

Per últim, destaquem la presentació d’una taula/resum sobre les estratègies de privacitat més adequades per a cadascuna de les fases que conformen la cadena de valor de Big Data:

Més informació: Guia Big Data AEPD-ISMS Forum

Amb l’auge de l’entorn digital en la activitat personal i professional dels ciutadans, el legislador ha promulgat la Llei 10/2017, del 27 de juny, de les voluntats digitals i de modificació dels llibres segon i quart del Codi civil de Catalunya la qual ha entrat en vigor el passat 19 de juliol.

Enfocada majoritàriament cap a les xarxes socials o bé plataformes al núvol, en les quals els ciutadans aboquen tot tipus d’informació, sigui personal o professional, amb aquesta llei es pretén regular com s’ha d’administrar la presencia de les persones en els entorns digitals durant llur minoria d’edat i en els supòsits de capacitat judicialment modificada i de mort.

Sota aquest context, les voluntats digitals són definides com les disposicions que estableix una persona perquè, després de la seva mort, l’hereu o el marmessor universal, si n’hi ha, o la persona designada per a executar-les actuï davant dels prestadors de serveis digitals amb els qui el causant tingui comptes actius.  D’aquesta forma, el causant podrà designar a una persona via testament , codicil o memòries testamentàries o bé, en cas de no haver atorgat disposicions d’última voluntat, a través d’un document que s’ha d’inscriure en el Registre electrònic de voluntats digitals, per a que aquesta dugui a terme la comunicació de la defunció als prestadors, sol·licitar-ne la cancel·lació dels seus comptes actius i/o sol·licitar que s’executin les clàusules contractuals o s’activin les polítiques establertes per als casos de defunció dels titulars de comptes actius i, si escau, que li lliurin una còpia dels arxius digitals que estiguin en llurs servidors. En cas que no s’hagin expressat voluntats digitals, es possibilita que sigui l’hereu o el marmessor universal, si n’hi ha, l’encarregat d’executar-les, o bé, la persona a la qual aquests s’ho encarreguin.

En tot cas, excepte si el causant ho ha previst expressament en les seves voluntats, l’encarregat d’executar les seves disposicions no podrà tenir accés als continguts dels comptes i arxius digitals del causant, excepte si s’obté autorització judicial i, tenint en compte que qualsevol despesa originada de l’execució de les disposicions com a regla general aniran a càrrec de l’actiu hereditari.

Pel que fa a les situacions de pèrdua sobrevinguda de la capacitat, les modificacions que introdueix la llei versen sobre la possibilitat què una persona, per al cas de pèrdua sobrevinguda de la capacitat, pugui apoderar a una altra per a que actuï davant dels prestadors de serveis digitals amb els qui el poderdant tingui comptes actius a fi de gestionar-los i, si escau, sol·licitar-ne la cancel·lació. Preveu, no obstant, que el poderdant quan sigui possible haurà de conèixer les decisions que prengui l’apoderat  sobre els comptes actius i participi en aquestes.

Els tutors que vetllin per la seguretat de les persones les quals tinguin la capacitat modificada judicialment o bé sobre un menor no emancipat quan no estigui en potestat parental i, per altra banda, el progenitors sobre els seus fills en potestat parental, tenen l’obligació de vetllar per a que la presencia d’aquells sigui apropiada a la seva edat i personalitat, a fi de protegir-lo dels riscos que en puguin derivar els entorns digitals. En aquest sentit, se’ls atorga la potestat de promoure les mesures adequades i oportunes davant dels prestadors de serveis digitals i, entre d’altres, instar-los a suspendre provisionalment l’accés als comptes actius, sempre que hi hagi un risc clar, immediat i greu, informat per un facultatiu, per a llur salut física o mental, havent escoltat al menor o el tutelat.

S’ha de tenir en compte que, en els casos que els tutors o administradors patrimonials o bé els progenitors o administradors especials desitgin demanar la cancel·lació de comptes digitals del menor o tutelat als prestadors de serveis digitals, en aquest cas, es requerirà una autorització judicial.

Per últim la llei crea el Registre electrònic de voluntat digitals el qual, com s’ha comentat, és un nou instrument registral de caràcter administratiu per deixar constància de les voluntats digitals quan aquestes no es plasmen al testament, codicil o memòria testamentaria. Es preveu que l’accés a aquest únicament sigui pel titular atorgant de les voluntats i, només una vegada mort, les persones que acreditin un interès legítim podran sol·licitar un certificat relatiu a l’existència o no d’aquest document i, pel que fa el seu contingut, únicament serà lliurat a la/les persones designades per a l’execució d’aquestes voluntats digitals. Es preveu no obstant que, a falta de desenvolupament reglamentari, el mateix Registre electrònic de voluntats digitals, si en te coneixement de la mort d’un atorgant, comuniqui d’ofici l’existència de voluntats inscrites a les persones designades per executar-les.

El proppassat 19 de juny l’Autoritat Catalana de Protecció de Dades (APDCAT)  va celebrar la jornada Noves eines per a la Protecció de Dades, a menys d’un any de la Plena Aplicació del Reglament Europeu, en la qual es va presentar la primera versió de la Guia per a l’Execució d’Avaluacions d’Impacte de Protecció de Dades en Empreses, Administracions Públiques i Institucions.

L’Avaluació d’Impacte de Protecció de Dades, o bé AIPD, és el nom que rep el procés d’avaluació que cal fer abans d’iniciar les operacions de tractament de dades personals que poden suposar un alt risc per als drets i llibertat de les persones, especialment quan aquests comporten una avaluació sistemàtica i exhaustiva d’aspectes personals de persones, tractament de categories especials de dades a gran escala o d’observació sistemàtica a gran escala de zones d’accés públic.

Amb l’objectiu de determinar i aplicar els mitjans que s’han d’emprar per a tractar les dades personals enfocant-se en la gestió dels riscos per als drets i llibertats fonamentals de les persones, l’APDCAT proporciona aquesta primera versió de guia per realitzar una AIPD  amb la finalitat que els subjectes obligats puguin extraure en un informe i complir amb el principi de responsabilitat proactiva (capacitat de demostrar el compliment de la norma, o accountability) les característiques del tractament avaluat i decisions preses per mitigar-ne els riscos a través de sis fases: anàlisi de la necessitat de fer l’avaluació d’impacte, descripció sistemàtica de les operacions de tractament, avaluació de la necessitat i proporcionalitat de les operacions de tractament, gestió dels riscos, informe d’avaluació d’impacte i la supervisió de la implantació i revisió del tractament respecte de l’AIPD.

Per a més informació, faci clic aquí per accedir a la Guia Pràctica d’Avaluació d’Impacte relativa a la protecció de dades

El pasado 12 de Enero, la Agència de Qualitat i Avaluació Sanitàries (AQuAS), perteneciente al Departamento de Salud, presentó en el Auditorio del Paranimfo de la Facultad de Medicina de la Universidad de Barcelona el Programa público de análisis de datos para la investigación e innovación en salud en Catalunya, PADRIS, con previsión operativa hacia  el 2020, el cual tiene como misión la puesta a disposición a comunidad científica de datos sanitarios para impulsar la investigación, innovación y evaluación en salud mediante el acceso a la reutilización y cruce de los datos sanitarios generados por el sistema sanitario integral de utilización pública de Cataluña (SISCAT). Para llegar a dicho objetivo, el AQuAS, que ostentará el papel de puerta de entrada única al Programa, ha definido como principios éticos para regir la definición del PADRIS y la actuación del ente el respeto a las personas, solidaridad de paciente a paciente a través de la aportación de sus datos previamente anonimizadas, eficiencia, transparencia, investigación responsable, protección de los datos personales y justicia, en referencia a la priorización de los proyectos con objetivo de resolver problemas relevantes de salud, especialmente el de las poblaciones más vulnerables. (more…)

El propassat 2 d’octubre va entrar en vigor la nova normativa que reforma profundament l’organització i el procediment administratiu, amb la qual es deroga la fins ara vigent Llei 30/1992 de Règim Jurídic de les Administracions Públiques i del Procediment Administratiu Comú.

Les encarregades de portar a termini aquesta reforma són la Llei 39/2015, del Procediment Administratiu Comú i la Llei 40/2015,de Règim del Sector Públic. Entre les principals novetats destaquem:

• L’Impuls de l’ús de mitjans electrònics per les gestions amb l’administració.

• Modificació en el còmput de terminis.

• Definició dels principis de l’exercici de la potestat sancionadora.

• Modificació de la responsabilitat patrimonial de les administracions públiques, tant pel que fa a les lesions causades a ciutadans derivades de lleis declarades inconstitucionals o contraries al dret de la Unió, com per les conseqüències derivades de la designació dels membres dels consells d’administració.

(more…)