Código de buenas prácticas en protección de datos en Big Data

La AEPD y la Asociación ISMS Forum acaban de presentar el Código de Buenas Prácticas en Protección de Datos para Proyectos Big Data.

La Agencia Española de Protección de Datos y la Asociación ISMS Forum acaban de presentar el Código de Buenas Prácticas en Protección de Datos para Proyectos Big Data, una publicación que recoge las recomendaciones que en materia de protección de datos deben tenerse presentes en el uso de la tecnología Big Data.

A nadie se le escapan las ventajas y oportunidades que el tratamiento masivo de datos (personales o no) pueden tener en nuestra sociedad y su infinidad de aplicaciones: desde algo tan cotidiano como evitar los atascos de tráfico como la previsión de situaciones de desabastecimiento en los mercados, la demanda de determinados productos, la incidencia de determinadas enfermedades o la mejor satisfacción de los intereses de nuestros clientes.

De la observación de los datos a gran escala se pueden extraer conclusiones y adoptar decisiones.

El problema es cuando estos datos no son anónimos sino que son el conjunto de todos nuestros datos, pensemos por ejemplo, en nuestros historiales clínicos: sabiamente utilizados se podrían hacer análisis de los riesgos de determinadas enfermedades en según qué población y perfiles, anticipándose a su aparición y aplicando la medicina preventiva y optimizando los recursos, que siempre son escasos. No conviene demonizar el Big Data, todo lo contrario…Sin embargo, también los riesgos pueden ser elevados si dichos datos caen en las manos inadecuadas.

Aunque a menudo no son necesarios los datos que permitan identificar unívocamente a las personas, si no se van a emplear medidas de anonimización, la observancia de los principios y obligaciones establecidas tanto en la Ley actual como en el Reglamento que viene, se hace imprescindible.

Centrémonos en uno de los apartados de este código en el que se abordan las principales implicaciones de los tratamientos big data en privacidad:

A) Origen de los datos

Puesto que las fuentes de los datos pueden ser diversas y cada vez existen mayor número de metadatos (información secundaria constituida por datos que califican a otros datos) habrá que tener presente, más que nunca los conceptos de Privaidad desde el Diseño y por Defecto y la realización de evaluaciones de impacto para ponderar los posibles riesgos que un tratamiento de datos a gran escala puede tener para la privacidad. En todo caso, el consentimiento es el primer principio de la protección de datos, a veces y en determinados casos, el más difícil de cumplir especialmente con las nuevas premisas del RGPD.

B) Transparencia en la información

A nuestro juicio, uno de los principios más importantes en el tratamiento de datos y muy vinculado al consentimiento. Los tratamientos y sus responsables tienen que ser transparentes y facilitar al ciudadano toda la información sobre su actuación y sus datos sin que ello suponga en ningún caso un obstáculo al funcionamiento del mercado.  Si se informa antes de realizar el tratamiento, el consentimiento tendrá las garantías adecuadas y las bases del tratamiento serán sólidas.

C) Calidad de los datos y conservación

Puesto que los riesgos pueden derivar de que los datos se utilicen para fines distintos, estén desactualizados o sean incorrectos, el ejercicio de los derechos ARCO no sea factible o se tomen decisiones sobre datos inexactos, las recomendaciones son:

  • Que se realice un análisis previo al inicio del proyecto sobre la tipología de datos necesarios, sus finalidades y la caducidad de los mismos (esta es una novedad del Reglamento, la información sobre el tiempo de conservación de los datos).
  • Que las empresas sepan escoger los datos correctos e interpretarlos de manera adecuada
  • Que las empresas organicen la información que obtienen de forma coherente , en función delos propósitos perseguidos para evitar recoger y almacenar más datos de los necesarios (lo cual, según reconocen la mayoría de las empresas, es más habitual de lo que parece aplicando la premisa “coge los datos que ya veremos lo que hacemos con ellos”.)
  • Que se establezcan protocolos de verificación periódica que permitan comprobar que el tratamiento de datos continúa siendo compatible y lícito con la finalidad inicial.
  • Que la entidad abogue por cumplir con el principio de minimización de datos.

D) Derechos de los interesados

Además de los derechos ya conocidos (acceso, rectificación y cancelación) el RGPD articula nuevos derechos: limitación, portabilidad y oposición así con el de decisiones individuales automatizadas.

E) Decisiones individuales automatizadas

El interesado puede oponerse al tratamiento siempre y cuando se haya adoptado una decisión exclusivamente automatizada, p.e. negar un crédito a una persona por un perfil de riesgo basado exclusivamente en el cruce de información.

Este derecho no será posible si dicha decisión es necesariara para la celebración o ejecución de un contrato entre un interesado y un responsible del tratamiento o se base en el consentimiento explício del interesado (pensemos por ejemplo en las Fintech en las que el propio interesado se somete a dichas decisiones).

Como podemos apreciar en esta parte del código, se pretende concienciar y orientar al sector Big Data hacia el cumplimiento del RGPD bajo parámetros de proactividad, transparencia y máximo respeto a la voluntad de los individuos formulada a través del consentimiento y posteriores derechos.

En los próximos posts seguiremos desmenuzando estas guías que tan útiles nos resultan para enfocar el cumplimiento de la legislación que se nos viene encima.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios