Cristina Alonso Schütze
Responsable de Protección de Datos de SATEC.


El RGPD entró en vigor hace ahora un año en la Unión Europea para regular el tratamiento de los datos personales de las personas físicas, así como la libre circulación de mismos. Asimismo, tanto a nivel público como privado, cada vez son más las iniciativas relacionadas con la explotación de la información disponible, incluyendo datos personales, mediante la utilización de un conjunto de tecnologías, sistemas y algoritmos que entendemos como big data.

El big data permite, a partir de la recolección de un volumen ingente de datos, extraer información de valor para la realización de estudios retrospectivos, prospectivos, proyecciones comerciales, establecimiento de perfiles y patrones de uso (tanto para fines estadísticos y científicos como comerciales), etc. Al llevarse a cabo estos análisis, puede suceder que los resultados tengan una repercusión directa sobre las personas, por lo que se hizo necesaria una regulación que salvaguarde la privacidad de las personas en los modelos de Big Data.

En los modelos de big data se pueden reconocer cuatro etapas distintas: la recolección de datos (que puede suponer una compra-venta de información); la verificación y validación de los datos; el almacenamiento (tanto de los datos iniciales como de los resultantes) y el análisis y explotación de los resultados.

De esta forma, al entrar en vigor la RGPD, estos proyectos, siempre que incluyan datos personales, deben adecuarse al marco legal europeo de protección de datos y privacidad cumpliendo una serie de requisitos. También deben ceñirse a exigencias de seguridad de la información, que deben ser identificadas antes de afrontarlos. Para el cumplimiento legal de la RGDP, hay que aplicar las estrategias de privacidad y seguridad que correspondan.

En la primera fase de un proyecto de big data, se debería contemplar las medidas técnicas y organizativas, medidas que permitan seudonimizar, anonimizar, cifrar, controlar los accesos, monitorizar y asegurar la trazabilidad de la información. Además, es necesario analizar previamente el tipo de datos necesarios, las finalidades iniciales para los cuales fueron recogidos y el consentimiento de los interesados, las finalidades futuras para los cuales se explotarán, así como la caducidad de los mismos. Es preciso asegurar que los datos que se van a recolectar no sean excesivos de cara a la finalidad de su tratamiento, así como la calidad de los mismos.

El artículo 5 de la RGPD relacionado con la licitud, lealtad y transparencia, limitación de la finalidad, exactitud, minimización y conservación de datos queda así cumplido. La legislación aplica tanto a datos como a los metadatos y es imprescindible revisar la compatibilidad entre la finalidad inicial y la finalidad futura, así como poder demostrar un interés legítimo para el tratamiento que se vaya a realizar. En esta fase también se identifica a los proveedores de cloud computing o de instalación y mantenimiento, que también han de ceñirse a lo que exige la ley.

La anonimización de los datos en su origen, mediante la definición exacta de la técnica de anonimización, es fundamental en esta fase del proceso. Además se debe comunicar a los destinatarios y usuarios de la información anonimizada cuáles son los riesgos.

Consentimiento, información y derechos

Desde el inicio del proyecto es preciso definir cómo se recabará el consentimiento y cuáles serán los mecanismos para informar en caso necesario a las personas cuyos datos se están tratando y de qué manera pueden ejercer sus derechos cumpliendo los requisitos del RGPD.

Almacenamiento de los datos

En lo que se refiere a la conservación de los datos, también es obligatorio establecer las medidas de seguridad que resulten tanto del análisis de riesgos como de la evaluación de impacto, y las medidas incluirán el cifrado, el control de acceso y la monitorización del mismo. Hay que asegurarse de que estas medidas de seguridad se mantienen a lo largo del tiempo, para lo cual se establecen auditorías periódicas.

Por último, la ley indica también que hay que revisar la información almacenada en cumplimiento del principio de calidad de los datos personales, verificando que la finalidad del tratamiento sigue compatible con la inicial, que los datos están actualizados y son exactos y limitados a lo necesario en función del objetivo del proyecto.

Etiquetas: 000