En un mundo que se transforma aceleradamente hacia lo digital, los datos son una suerte de materia prima indispensable, no sólo para los negocios, sino también para las administraciones públicas. Ciertamente, el Big Data, como herramienta para captar y procesar ingentes cantidades de información, es líder entre las tecnologías que están reconfigurando nuestra cotidianidad. Sin embargo, esta generación, captación y tratamiento masivo de datos causa inquietud en el ámbito de la privacidad. Ahora mismo, el binomio Big Data y protección de datos es el centro de una preocupación que las normativas legales están tratando de canalizar.
En medio de la natural discusión entre especialistas y usuarios comunes de Internet, surgen iniciativas para orientar el uso ético de Big Data. Por ejemplo, el Código de buenas prácticas en protección de datos para proyectos Big Data publicado por la Agencia Española de Protección de Datos (AEPD) y la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain). De esta guía, realizada con el apoyo de otras instituciones educativas y ciudadanas, así como de empresas privadas, haremos un apretado resumen en este post.
Lo más básico de Big Data y protección de datos
En síntesis, el Big Data reúne una serie de tecnologías, algoritmos y sistemas usados para recopilar una inmensa cantidad de datos. De estos, se extrae información relevante mediante analítica avanzada soportada en cloud computing. Las denominadas “seis V” resumen las características del Big Data:
- Volumen. Se trata de la propiedad más evidente de esta tecnología, ya que la cantidad datos que puede gestionar se contabiliza en las unidades de almacenamiento: megabytes, gigabytes, terabytes y hasta petabytes. Aunque ya se está empleando una unidad mayor: los zettabytes, que equivalen a 10²¹ bytes.
- Variedad. Gracias al Big Data, es factible gestionar datos de diversas características y procedencias: estructurados, semiestructurados o desestructurados; estáticos, dinámicos y en cambio continuo. Las fuentes son igualmente heterogéneas, porque pueden provenir de bases de datos, de las mismas personas, de máquinas y sensores, entre otros.
- Velocidad. Tener información relevante en el momento oportuno para la toma de decisiones es una de las finalidades de emplear Big Data. La tecnología que nos ocupa es capaz de captar y procesar datos a gran velocidad y, en muchos casos, en tiempo real.
- Variabilidad. En razón de lo anterior, el significado de los datos puede cambiar de forma continua, lo que genera eventuales inconsistencias que es preciso gestionar.
- Valor. Los datos adquieren valor en la medida en que puedan transformarse en información y conocimiento que lleve a la toma de decisiones. Ser accionables es lo que hace valiosos a los datos.
- Veracidad. ¿Qué tan fiables pueden ser los datos? Es factible evaluar la calidad de dichos datos, condición que está resultando un desafío para el Big Data.
Data lake
A estas propiedades, se une el concepto de lago de datos o data lake, definido como “un almacenamiento de propósito específico de bajo coste y gran volumen” capaz de ampliarse a “una agrupación o conglomerado de datos compartida por toda la organización en la que todo tipo de datos son accesibles simultáneamente por una variedad de motores de análisis sin apenas fricción”.
Big Data y protección de datos, amenazas y oportunidades
En este contexto, el dúo Big Data y protección de datos se hace pertinente. Precisamente porque la captura y procesamiento de tales cantidades de datos -personales en gran parte- entraña oportunidades a aprovechar y desafíos a enfrentar.
En efecto, la capacidad de realizar análisis predictivos que aporta la tecnología que estudiamos ha sido particularmente útil para sectores como el sanitario, donde está logrando reducir la duración de los ingresos hospitalarios y anticiparse a enfermedades y riesgos de salud. Pero también en otros como el retail, el consumo masivo y el marketing, entre otros. En estos segmentos económicos, el Big Data facilita:
- Un conocimiento más completo del cliente para mejorar los servicios y la atención.
- Estudios más amplios del mercado con el propósito de captar nuevos clientes.
- Personalizar las ofertas de productos y servicios para mejorar la experiencia de cliente e incrementar la fidelización y el engagement.
- Toma de decisiones más rápida para optimizar procesos, disminuir costes y aumentar la competitividad.
- Anticipación a cambios en los hábitos de consumo y expectativas de los clientes. Esto proporciona una visión más amplia del negocio y las estrategias que lleve a la creación de productos y servicios innovadores.
Riesgos
Por otra parte, el documento que analizamos identifica factores de riesgo asociados al tratamiento de los datos mediante Big Data:
Aspectos legales de Big Data y protección de datos
En este punto se incluyen elementos claves como la trasparencia en la información que debe facilitarse a los usuarios respecto al tratamiento de sus datos y la forma de obtener el consentimiento explícito para tal gestión; así como también lo que concierne a la capacidad de los afectados para ejercer sus derechos.
La evolución tecnológica y, por ende, la del mercado hace previsible el surgimiento de usos no contemplados al momento de otorgar el consentimiento. Otros aspectos a considerar son las particularidades legales que derivan de:
- La creación de perfiles y el seguimiento de la conducta de las personas (profiling).
- El ejercicio del derecho de oposición.
- Al igual que el derecho de impugnación de valoraciones basadas en decisiones automatizadas.
Asimismo, está latente la preocupación por las fuentes de datos, dado que no siempre son propias, porque se complementa con información que proviene de repositorios de terceros. Lo mismo ocurre con la gestión de los datos por figuras como los responsables y encargados de tratamiento, aunque estén reconocidos en normativas como el RGPD. El límite de la conservación de los datos y la reutilización de la información disociada se añaden a la lista de aspectos legales a revisar.
Aspectos técnicos y de seguridad
En este segundo bloque, el documento que resumimos insta a considerar la anonimización, en especial por la amenaza de la reidentificación de los datos. Esto amerita reforzar los análisis de riesgo para disminuirlo o eliminarlo, así como realizar evaluaciones de impacto.
Por igual, el empleo de cloud computing en los tratamientos de Big Data revela particularidades que requieren el planteamiento de estrategias de seguridad reforzadas, como la implementación de técnicas de cifrado.
Big Data y protección de datos, normativas en materia de privacidad
Básicamente, las entidades que se planteen desarrollar proyectos apoyados en Big Data deben acatar el Reglamento General de Protección de Datos de la Unión Europea. Si bien la normativa no es específica para el tipo de tratamiento realizado con esta tecnología, sí es aplicable ya que comprende la protección de los datos personales. Estos últimos se entienden como toda información referida a personas físicas identificadas o identificables, como indica el artículo 4.1. Big Data puede tratar tanto datos anonimizados (para los que no aplica el Reglamento), como personales. Para la gestión de los segundos, el responsable del tratamiento debe acogerse al mencionado instrumento legal, en especial en lo que respecta a:
- La licitud del tratamiento (artículo 6), incluyendo el “necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero” (7.1.f) y lo previsto para “el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales” y que “no esté basado en el consentimiento del interesado” (6.4)
- El consentimiento explícito del usuario (artículo 7).
- Seguridad del tratamiento (artículo 32) que especifica las medidas técnicas y organizativas que el responsable de datos debe tomar “para garantizar un nivel de seguridad adecuado al riesgo”. Esto implica asegurarse de contar con un servicio de almacenamiento cloud que cumpla con altos estándares en este sentido.
Elementos esenciales y procedimientos aplicables a Big Data y protección de datos
Para la ejecución de proyectos de Big Data, la AEPD y la ISMS Forum Spain recomiendan seguir cinco principios básicos:
Privacidad desde el diseño
Considerar la privacidad desde el diseño es una medida que asegura la incorporación de las garantías de protección de los datos desde la etapa de planificación de los procedimientos y sistemas de información. Este concepto está contemplado en el artículo 25 del RGPD e incluye todas las medidas técnicas y organizativas referidas en el texto legal, atendiendo elementos como: “el estado de la técnica, el coste de la aplicación o los riesgos del tratamiento para los derechos y libertades de los afectados, para cumplir los requisitos del Reglamento y proteger los derechos de los interesados”.
Accountability
Este es un principio vinculado con la responsabilidad social corporativa (RSC) y referido al desarrollo de las TI. Particularmente, en lo que concierne al tratamiento de datos personales. La accountability demuestra que la empresa reconoce, asume la responsabilidad y un desempeño transparente sobre los efectos de su política de tratamiento de datos. Entre las medidas ligadas a este fundamento, están:
- Establecer procedimientos previos a la implementación de nuevos procesos de tratamiento de datos personales.
- Estipular políticas vinculantes generales de protección de datos aplicables a toda nueva operación en esta materia.
- Nombrar un delegado de protección de datos (Artículo 37 del RGPD).
Evaluación de impacto de la protección de datos (EIPD)
Mediante el EIPD, las compañías y organismo de administración pública pueden verificar si su gestión de datos personales implica riesgos para el derecho de protección de la información. En este sentido, el referido principio permite evaluar tales riesgos y su impacto en los derechos de los usuarios cuyos datos son objeto de tratamiento. El artículo 35 del RGPD expone ampliamente las características y procedimientos de esta evaluación.
Reutilización de datos disociados
Para corroborar que los procedimientos de anonimización de los datos personales empleados en proyectos de Big Data son irreversibles, es preciso valorar las fuentes de información en Internet y la tecnología disponible por parte del responsable del tratamiento o de cualquier otra persona.
Una auténtica anonimización de datos personales debe ser irreversible. Dicho de otro modo, no debe permitir la identificación del titular de los datos. Aunque es imprescindible valorar los riesgos que devienen de las técnicas implementadas para tal anonimización. Ya que dado el estado actual de la tecnología, eventualmente pueden darse situaciones que, pese a que no parecen permitir la reversibilidad, aplicando determinadas tecnologías, sí sería factible identificar al interesado. Cabe recordar que esta anonimización es la que permite realizar el tratamiento de datos sin sujeción al RGPD.
Relaciones con la autoridad de control
El artículo 36 del RGPD establece la consulta previa con la autoridad de control nacional competente en materia de protección de datos cuando la evaluación de impacto ya descrita demuestre que el tratamiento reviste “un alto riesgo si el responsable no toma medidas para para mitigarlo”. Por tanto, esta consulta aplica a los proyectos de Big Data que emprenda cualquier organización.
Procedimientos técnicos para mejorar Big Data y protección de datos
El documento que analizamos propone una serie de medidas técnicas para la implementación de proyectos de Big Data en empresas. Las mismas no sólo adecúan esta iniciativa a las directivas del RGPD, sino que también buscan generar confianza entre los usuarios respecto al tratamiento que dan las compañías a sus datos. Para comprender estas medidas a cabalidad, recomendamos la lectura al completo de este código de buenas prácticas para iniciativas Big Data.
En Legal Veritas te ayudamos a integrar Big Data y Protección de Datos
Si estás incorporando o planificas incorporar la tecnología Big Data en tu negocio, desde Legal Veritas te recomendamos seguir las indicaciones del Código de buenas prácticas en protección de datos para proyectos de Big Data de la AEPD y la ISMS Forum. De la misma manera, es pertinente buscar asesoramiento legal con expertos en protección de datos y cumplimiento del marco legal que rige la materia. En Legal Veritas te ayudamos en la adaptación de tus canales web y de tu proyecto Big Data a las exigencias de normativas como: RGPD, LOPDGDD y LSSICE. Para este propósito, contamos con profesionales especializados en el ámbito legal y técnico, además de soluciones digitales que apoyan el cumplimiento de tales directivas. Entre nuestros servicios, está la asignación de un delegado de protección de datos (DPO) externalizado.
¡Contáctanos y evita las sanciones derivadas del incumplimiento del marco legal de Big Data y protección de datos!
Deja una respuesta