La Agencia Española de Protección de Datos conjuntamente con el ISMS Forum Spain publicaron el último mes de mayo el Código de buenas prácticas en protección de datos para proyectos de Big Data. Con esta guía se pretende globalizar las apreciaciones que se hacen desde ambas entidades respecto a los proyectos de Big Data y la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), así como la normativa de desarrollo y el Reglamento General de Protección de Datos (RGPD).

Se entiende como Big Data a un conjunto de tecnologías, algoritmos y sistemas empleados con el fin de recolectar datos a gran escala y extraer información de valor mediante sistemas analíticos avanzados de forma automatizada. Este tratamiento sobre los datos se caracteriza por hacerse sobre un gran volumen de datos, muy variables y a una velocidad que puede llegar a ser en tiempo real en algunos casos.

Desde un punto de vista arquitectónico o estructural, un proyecto de Big Data puede ser analizado desde diferentes capas principales: la de fuentes de datos (origen de la información), integración de estas en la base de datos, almacenamiento con recursos adecuados para ser analizada y gestionada, así como, la última capa, la presentación y aplicación en diferentes procesos.

El código se presenta como un análisis de la normativa que operará a partir del 25 de mayo de 2018, el RGPD, y las consideraciones que se deben tener en cuenta en caso de que la organización desee sumergirse en un proyecto de Big fecha. Así, recuerdan la necesidad de cumplir con los principios básicos de la normativa de protección de datos con respecto al derecho de información y el consentimiento, ligando con la necesidad de estructurar una organización transparente la que los usuarios puedan confiar debido a la constante información y facilidad de encontrarla en relación a sus derechos garantizados por el RGPD, es decir, actualización de las finalidades las que se recaba los datos siempre ligadas a la finalidad inicial que lo motivaron así como, en especial, información sobre los derechos de acceso, rectificación, supresión, oposición así como los nuevos derechos que se incorporan, es decir, limitación, portabilidad o el derecho a no ser sometido a tratamientos basados ​​únicamente en decisiones automatizadas individuales. También, recuerda la necesidad de tener definidos e integrados dentro del gobierno interno los principios de minimización de los datos y calidad, a partir de la cual se recauden únicamente los datos que sean estrictamente necesarios para el objetivo que queremos alcanzar y en definitiva, no pedir datos en previsión de que puedan ser útiles en un futuro o definido textualmente, datos «por si acaso».

Aparte de los principios básicos de la normativa de protección de datos, se recuerda la necesidad de regular debidamente las relaciones con terceros (encargados del tratamiento) y la definición de las responsabilidades de cada agente operativo dentro de este tratamiento, así como la asunción interna del concepto accountability o responsabilidad de la entidad a implantar medidas y establecimiento de mecanismos internos y / o externos para evaluar la fiabilidad y poder demostrar su efectividad ante las autoridades de control, así como la privacidad en el diseño (Privacy by design) traducido en la necesidad de que cualquier proyecto de estas características se inicie teniendo en cuenta los principios que la legislación en la materia establece con el fin de evitar tener que redefinir los sistemas y procesos continuamente implicando, en su caso, gastos asociados a la implantación de los requerimientos legales.

También se realiza una especial mención a las evaluaciones de impacto o AIPD, a partir de las cuales se aconseja que las organizaciones que las lleven a cabo antes del inicio del tratamiento de datos enfocado al Big Data para poder identificar los riesgos asociados a los procesos de identificación, análisis y recolección de información especialmente en cuanto los procesos de anonimización de los datos y la irreversibilidad en la identificación. Se recuerda que es necesario hacer una evaluación de las técnicas y procedimientos de anonimización para acreditar que la disociación realizada evita que se pueda identificar a una persona física dentro del conjunto de datos o que se pueda relacionar o enlazar la información de una persona física a partir de la vinculación de dos registros dentro del conjunto de los datos, así como se pueda inferir cualquier información sobre la persona física en el conjunto. Finalmente, se hace alusión a que, ante una conclusión negativa o de riesgos a los derechos de los usuarios en la AIPD, la Entidad requerirá acudir a la autoridad de control para que ésta le asesore.

Se recomienda la realización de un proyecto piloto con una pequeña muestra ficticia de datos de la que se pueda extraer, objetivamente, conclusiones respecto a la viabilidad de las técnicas de anonimización y el procedimiento.

Por último, destacamos la presentación de una cuadro / resumen sobre las estrategias de privacidad más adecuadas para cada una de las fases que conforman la cadena de valor de Big Data:

Más información: Guia Big Data AEPD-ISMS Forum

Con el auge del entorno digital en la actividad personal y profesional de los ciudadanos, el legislador ha promulgado la Ley 10/2017, del 27 de junio, de las voluntades digitales y de modificación de los libros segundo y cuarto del Código Civil de Cataluña la cual ha entrado en vigor el pasado 19 de julio.

Enfocada mayoritariamente hacia las redes sociales o plataformas en la nube, en las que los ciudadanos vuelcan todo tipo de información, personal o profesional, con esta legislación se pretende regular cómo debe administrarse la presencia de las personas en los entornos digitales durante la minoría de edad y en los supuestos de capacidad judicialmente modificada y fallecimiento.

Bajo este contexto, las voluntades digitales son definidas como aquellas disposiciones que establece una persona para que, tras su fallecimiento, el heredero o el albacea universal, si lo hubiera, o la persona designada para ejecutarlas, actúe ante los prestadores de servicios digitales con los que el causante tuviera cuentas activas. De dicha forma, el causante puede designar a una persona vía testamento, codicilo o memoria testamentaria o bien, en caso de no haber otorgado disposiciones de última voluntad, a través de un documento que se debe inscribir en el Registro electrónico de voluntades digitales, para que aquella pueda llevar a cabo la comunicación de la defunción a los prestadores, solicitar la cancelación de las cuentas activas y/o solicitar que se ejecuten las cláusulas contractuales o se activen las políticas establecidas para los casos de defunción de los titulares de las cuentas activas y, si es necesario, se libre una copia de los archivos digitales que estén en sus servidores. En caso de no haberse expresado voluntades digitales, se posibilita que sea el heredero o albacea universal, si lo hubiera, el encargado de ejecutarlas, o bien la persona a la cual estos lo hayan encargado.

En todo caso, a excepción de si el causante lo ha previsto expresamente en sus voluntades, el encargado de ejecutar sus disposiciones no podrá tener acceso a los contenidos de las cuentas y archivos digitales del causante, excepto si se obtiene autorización judicial y, teniendo en cuenta que cualquier gasto originado por la ejecución de las disposiciones como regla general correrán a cargo del activo hereditario.

En lo relativo a las situaciones de perdida sobrevenida de la capacidad, las modificaciones que introduce la ley versan sobre la posibilidad de que una persona, para el caso de pérdida sobrevenida de la capacidad, pueda apoderar a otra para que actúe ante los prestadores de servicios digitales con los que el poderdante tenga cuentas activa a fin de gestionarlas y, si procede, solicitar su cancelación. Prevé, no obstante, que el poderdante siempre que sea posible conozca las decisiones que tome el apoderado sobre las cuentas activas y participe en ellas.

Los tutores que velen por la seguridad de las personas las cuales tengan la capacidad modificada judicialmente o bien sobre un menor no emancipado cuando no esté en potestad parental y, por otro lado, los progenitores sobre sus hijos en potestad parental, tienen la obligación de velar para que la presencia de aquellos sea apropiada a la edad y personalidad, a fin de protegerlo de los riesgos que pueda dar lugar el entorno digital. En este sentido, se les otorga la potestad de promover las medidas adecuadas y oportunas ante los prestadores de servicios digitales y, entre otros, instarles a suspender provisionalmente el acceso a las cuentas activas, siempre que hubiere un riesgo claro, inmediato y grave, informado por un facultativo, para su salud física o mental, habiendo escuchado al menor o tutelado.

Se debe tener en cuenta que, en los casos en que los tutores o administradores patrimoniales o bien los progenitores o administradores especiales deseen solicitar la cancelación de cuentas digitales del menor o tutelado a los prestadores de servicios digitales, en este caso, se requerirá una autorización judicial.

Por último la ley crea el Registro electrónico de voluntades digitales el cual, como se ha comentado, es un nuevo instrumento registral de carácter administrativo para dejar constancia de las voluntades digitales cuando estas no se plasman en testamento, codicilo o memoria testamentaria. Se prevé que el acceso a éste únicamente sea por el titular otorgante de las voluntades y, solo una vez fallecido, las personas que acrediten un interés legítimo pueden solicitar un certificado relativo a la existencia o no de este documento y, en cuanto al contenido, únicamente se librará  a la/las personas designadas para la ejecución de estas voluntades digitales. Se prevé no obstante que, a falta de desarrollo reglamentario, el mismo Registro electrónico de voluntades digitales, si tiene conocimiento del fallecimiento del otorgante, comunique de oficio la existencia de voluntades inscritas a las personas designadas para ejecutarlas.

El pasado 19 de junio la Autoridad Catalana de Protección de Datos (APDCAT) celebró la jornada Nuevas herramientas para la Protección de Datos, a menos de un año de la Plena Aplicación del Reglamento Europeo, en la cual se presentó la primera versión de la Guía para la Ejecución de Evaluaciones de Impacto de Protección de Datos en Empresas, Administraciones Públicas e Instituciones.

La Evaluación de Impacto de Protección de Datos, o EIPD, es el nombre que recibe el proceso de evaluación que se requiere realizar antes de iniciar las operaciones de tratamiento de datos personales que pueden suponer una avaluación sistemática y exhaustiva de aspectos personales de personas, tratamiento de categorías especiales de datos a gran escala o la observación sistemática a gran escala de zonas de acceso público.

Con el objetivo de determinar y aplicar los medios que deben utilizarse para tratar los datos personales enfocándose en la gestión de los riesgos para los derechos y libertades fundamentales de las personas, la APDCAT proporciona esta primera versión de guía para realizar la EIPD con la finalidad de que los sujetos obligados puedan extraer en un informe y cumplir con el principio de responsabilidad proactiva (capacidad de demostrar el cumplimiento de la norma, o accountability) las características del tratamiento evaluado y las decisiones tomadas para mitigar los riesgos a través de seis fases: análisis de la necesidad de realizar la evaluación de impacto, descripción sistemática de las operaciones de tratamiento, evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento, gestión de los riesgos, informe de evaluación de impacto y la supervisión de la implantación y revisión del tratamiento respecto a la EIPD.

Para más información, haga clic aquí para acceder a la Guía Práctica de Evaluación de Impacto relativa a la protección de datos (actualmente solo en  catalán).

El pasado 12 de Enero, la Agència de Qualitat i Avaluació Sanitàries (AQuAS), perteneciente al Departamento de Salud, presentó en el Auditorio del Paranimfo de la Facultad de Medicina de la Universidad de Barcelona el Programa público de análisis de datos para la investigación e innovación en salud en Catalunya, PADRIS, con previsión operativa hacia  el 2020, el cual tiene como misión la puesta a disposición a comunidad científica de datos sanitarios para impulsar la investigación, innovación y evaluación en salud mediante el acceso a la reutilización y cruce de los datos sanitarios generados por el sistema sanitario integral de utilización pública de Cataluña (SISCAT). Para llegar a dicho objetivo, el AQuAS, que ostentará el papel de puerta de entrada única al Programa, ha definido como principios éticos para regir la definición del PADRIS y la actuación del ente el respeto a las personas, solidaridad de paciente a paciente a través de la aportación de sus datos previamente anonimizadas, eficiencia, transparencia, investigación responsable, protección de los datos personales y justicia, en referencia a la priorización de los proyectos con objetivo de resolver problemas relevantes de salud, especialmente el de las poblaciones más vulnerables. (más…)

El pasado 2 de octubre entró en vigor la nueva normativa que reforma profundamente la organización y el procedimiento administrativo, con la que se deroga la hasta ahora vigente Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Las encargadas de llevar a plazo esta reforma son la Ley 39/2015, del Procedimiento Administrativo Común y la Ley 40/2015, de Régimen del Sector Público. Entre las principales novedades destacamos:

• El Impulso del uso de medios electrónicos para las gestiones con la administración.
• Modificación en el cómputo de plazos.
• Definición de los principios del ejercicio de la potestad sancionadora.
• Modificación de la responsabilidad patrimonial de las administraciones públicas, tanto con respecto a las lesiones causadas a ciudadanos derivadas de leyes declaradas inconstitucionales o contrarias al derecho de la Unión, como por las consecuencias derivadas de la designación de los miembros de los consejos de administración.

(más…)