L’Agència Espanyola de Protecció de Dades conjuntament amb l’ISMS Forum Spain varen publicar el darrer mes de maig el Codi de bones pràctiques en protecció de dades per a projectes de Big Data. Amb aquesta guia es pretén globalitzar les apreciacions que es fan des d’ambdues entitats respecte als projectes de Big Data i l’aplicació de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), així com la normativa de desplegament i el Reglament General de Protecció de Dades (RGPD).
S’entén com Big Data a un conjunt de tecnologies, algoritmes i sistemes emprats amb la finalitat de recol·lectar dades a gran escala i extraure informació de valor mitjançant sistemes analítics avançats de forma automatitzada. Aquest tractament sobre les dades es caracteritza per fer-se sobre un gran volum de dades, molt variables i a una velocitat que pot arribar a ser en temps real en alguns casos.
Des d’un punt de vista arquitectònic o bé estructural, un projecte de Big Data pot ser analitzat des de diferents capes principals: la de fonts de dades (origen de la informació), integració d’aquestes a la base de dades, emmagatzematge amb recursos adequats per ser analitzada i gestionada així com, la darrera capa, la presentació i aplicació en diferents processos.
El codi es presenta com una anàlisi de la normativa que operarà a partir del 25 de maig del 2018, el RGPD, i les consideracions que s’han de tenir en compte en cas que l’organització desitgi submergir-se en un projecte de Big Data. Així, recorden la necessitat d’acomplir amb els principis bàsics de la normativa de protecció de dades pel que fa al dret d’informació i el consentiment, lligant-se amb la necessitat d’estructurar-se una organització transparent la qual els usuaris puguin confiar a causa de la constant informació i facilitat de trobar-la en relació als seus drets garantits pel RGPD, és a dir, actualització de les finalitats les quals es recaven les dades sempre lligades a la finalitat inicial que ho varen motivar així com, en especial, informació sobre els drets d’accés, rectificació, supressió, oposició així com els nous drets que s’incorporen, és a dir, limitació, portabilitat o el dret a no ser sotmès a tractaments basats únicament en decisions automatitzades individuals. També, recorda la necessitat de tenir definits i integrats dins del govern intern els principis de minimització de les dades i qualitat, a partir de la qual es recaptin únicament les dades que siguin estrictament necessàries per a l’objectiu que volem assolir i en definitiva, no demanar dades en previsió que puguin ser útils en un futur o definit textualment, dades “per si de cas”.
Fora dels principis bàsics de la normativa de protecció de dades, es recorda la necessitat de regular degudament les relacions amb tercers (encarregats del tractament) i la definició de les responsabilitats de cada agent operatiu dins d’aquest tractament, així com l’assumpció interna del concepte accountability o responsabilitat de l’entitat a implantar mesures i establiment de mecanismes interns i/o externs per avaluar la fiabilitat i poder demostrar la seva efectivitat davant les autoritats de control, així com la privacitat en el disseny (Privacy by design) traduït en la necessitat que qualsevol projecte d’aquestes característiques s’iniciï tenint en compte els principis que la legislació en la matèria estableix amb la finalitat d’evitar haver de redefinir els sistemes i processos contínuament implicant, en el seu cas, despeses associades a la implantació dels requeriments legals.
També es realitza una especial menció a les avaluacions d’impacte o AIPD, a partir de les quals s’aconsella que les organitzacions que les portin a terme abans de l’inici del tractament de dades enfocat al Big Data per tal de poder identificar els riscos associats als processos d’identificació, anàlisi i recol·lecció d’informació especialment pel que fa els processos d’anonimització de les dades i la irreversibilitat en la identificació. Es recorda que és necessari fer una avaluació de les tècniques i procediments d’anonimització per tal d’acreditar que la dissociació realitzada evita que es pugui identificar a una persona física dins del conjunt de dades o que es pugui relacionar o enllaçar la informació d’una persona física a partir de la vinculació de dos registres dins del conjunt de les dades, així com es pugui inferir qualsevol informació sobre la persona física en el conjunt. Finalment, es fa al·lusió a què, davant una conclusió negativa o de riscos als drets dels usuaris en la AIPD, l’Entitat requerirà acudir a l’autoritat de control per tal que aquesta l’assessori.
Es recomana però la realització d’un projecte pilot amb una petita mostra fictícia de dades de la qual es pugui extraure, objectivament, conclusions respecte a la viabilitat de les tècniques d’anonimització i el procediment.
Per últim, destaquem la presentació d’una taula/resum sobre les estratègies de privacitat més adequades per a cadascuna de les fases que conformen la cadena de valor de Big Data:
FASE BIG DATA | ESTRATEGIA | IMPLEMENTACIÓ |
Adquisició i recol·lecció | Minimitzar | · Seleccionar abans d’adquirir
· Realitzar una AIPD
|
Agregar | · Anonimització en la font d’origen | |
Ocultar | · Eines de xifratge
· Eines d’emmascarament de dades |
|
Informar | · Transparència – Comunicació a l’interessat | |
Controlar | · Mecanismes per recaptar el consentiment. | |
Anàlisis i validació | Agregar | · Tècniques d’anonimització |
Ocultar | · Eines de xifratge | |
Emmagatzematge | Ocultar | · Eines de Xifratge
· Mecanismes d’autenticació i control d’accés |
Separar | · Emmagatzematge distribuït o descentralitzat | |
Explotació | Agregar | · Tècniques d’anonimització |
Aplicable a totes les fases | Complir i demostrar | · Definició de polítiques, traçabilitat de les accions i eines per garantir compliment. |
Més informació: Guia Big Data AEPD-ISMS Forum
@ Faura-Casas