Código de buenas prácticas en protección de datos para proyectos BIG DATA

La Agencia Española de Protección de Datos conjuntamente con el ISMS Forum Spain publicaron el último mes de mayo el Código de buenas prácticas en protección de datos para proyectos de Big Data. Con esta guía se pretende globalizar las apreciaciones que se hacen desde ambas entidades respecto a los proyectos de Big Data y la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), así como la normativa de desarrollo y el Reglamento General de Protección de Datos (RGPD).

Se entiende como Big Data a un conjunto de tecnologías, algoritmos y sistemas empleados con el fin de recolectar datos a gran escala y extraer información de valor mediante sistemas analíticos avanzados de forma automatizada. Este tratamiento sobre los datos se caracteriza por hacerse sobre un gran volumen de datos, muy variables y a una velocidad que puede llegar a ser en tiempo real en algunos casos.

Desde un punto de vista arquitectónico o estructural, un proyecto de Big Data puede ser analizado desde diferentes capas principales: la de fuentes de datos (origen de la información), integración de estas en la base de datos, almacenamiento con recursos adecuados para ser analizada y gestionada, así como, la última capa, la presentación y aplicación en diferentes procesos.

El código se presenta como un análisis de la normativa que operará a partir del 25 de mayo de 2018, el RGPD, y las consideraciones que se deben tener en cuenta en caso de que la organización desee sumergirse en un proyecto de Big fecha. Así, recuerdan la necesidad de cumplir con los principios básicos de la normativa de protección de datos con respecto al derecho de información y el consentimiento, ligando con la necesidad de estructurar una organización transparente la que los usuarios puedan confiar debido a la constante información y facilidad de encontrarla en relación a sus derechos garantizados por el RGPD, es decir, actualización de las finalidades las que se recaba los datos siempre ligadas a la finalidad inicial que lo motivaron así como, en especial, información sobre los derechos de acceso, rectificación, supresión, oposición así como los nuevos derechos que se incorporan, es decir, limitación, portabilidad o el derecho a no ser sometido a tratamientos basados ​​únicamente en decisiones automatizadas individuales. También, recuerda la necesidad de tener definidos e integrados dentro del gobierno interno los principios de minimización de los datos y calidad, a partir de la cual se recauden únicamente los datos que sean estrictamente necesarios para el objetivo que queremos alcanzar y en definitiva, no pedir datos en previsión de que puedan ser útiles en un futuro o definido textualmente, datos «por si acaso».

Aparte de los principios básicos de la normativa de protección de datos, se recuerda la necesidad de regular debidamente las relaciones con terceros (encargados del tratamiento) y la definición de las responsabilidades de cada agente operativo dentro de este tratamiento, así como la asunción interna del concepto accountability o responsabilidad de la entidad a implantar medidas y establecimiento de mecanismos internos y / o externos para evaluar la fiabilidad y poder demostrar su efectividad ante las autoridades de control, así como la privacidad en el diseño (Privacy by design) traducido en la necesidad de que cualquier proyecto de estas características se inicie teniendo en cuenta los principios que la legislación en la materia establece con el fin de evitar tener que redefinir los sistemas y procesos continuamente implicando, en su caso, gastos asociados a la implantación de los requerimientos legales.

También se realiza una especial mención a las evaluaciones de impacto o AIPD, a partir de las cuales se aconseja que las organizaciones que las lleven a cabo antes del inicio del tratamiento de datos enfocado al Big Data para poder identificar los riesgos asociados a los procesos de identificación, análisis y recolección de información especialmente en cuanto los procesos de anonimización de los datos y la irreversibilidad en la identificación. Se recuerda que es necesario hacer una evaluación de las técnicas y procedimientos de anonimización para acreditar que la disociación realizada evita que se pueda identificar a una persona física dentro del conjunto de datos o que se pueda relacionar o enlazar la información de una persona física a partir de la vinculación de dos registros dentro del conjunto de los datos, así como se pueda inferir cualquier información sobre la persona física en el conjunto. Finalmente, se hace alusión a que, ante una conclusión negativa o de riesgos a los derechos de los usuarios en la AIPD, la Entidad requerirá acudir a la autoridad de control para que ésta le asesore.

Se recomienda la realización de un proyecto piloto con una pequeña muestra ficticia de datos de la que se pueda extraer, objetivamente, conclusiones respecto a la viabilidad de las técnicas de anonimización y el procedimiento.

Por último, destacamos la presentación de una cuadro / resumen sobre las estrategias de privacidad más adecuadas para cada una de las fases que conforman la cadena de valor de Big Data:

Más información: Guia Big Data AEPD-ISMS Forum