La AEPD e ISMS Forum Spain crean un ‘Código de buenas prácticas en protección de datos para proyectos de Big Data’

|

Crear un marco estable a todos los proyectos que trabajen con datos masivos con la herramienta del big data respetando la privacidad de los usuarios de dichos datos es uno de los objetivos del Código de Buenas Prácticas que la Agencia Española de Protección de Datos (AEPD) y la entidad especializada en tecnología ISMS Forum Spain presentaron este jueves gracias a las intervenciones de Mar España, directora de ese regulador y Carlos A. Sáiz, vicepresidente de dicha asociación de juristas y tecnólogos.

En este entorno global donde los datos son un elemento capital para muchas empresas y su tratamiento masivo ayuda, empleado los algoritmos adecuados, a tomar decisiones estratégicas, el grupo de trabajo creado entre la AEPD y la propia ISMS Forum Spaín aglutino a veinticuatro expertos en privacidad y tecnología que han aportado sus trabajos.

PUBLICIDAD
PUBLICIDAD

Fue Mar España, directora de la AEPD, quien destacó que esta publicación, ya operativa en papel y en la web de ambas entidades colaboradores es un inicio que debe ayudar al asesoramiento de aquellas entidades que vayan a desarrollar proyectos de Big Data “Al igual que la próxima LOPD que ahora se está en proceso de reforma, este manual ha tomado como referencia el nuevo Reglamento Europeo de Protección de Datos, que será aplicable el 25 de mayo de 2018.

Esta innovación tecnológica de la que CONFILEGAL se hizo eco hace unos días de un desarrollo en el mundo del deporte  aún sin regulación explicita en nuestro país pese al debate abierto sobre la misma “ deberá tener en cuenta aspectos clave como la privacidad desde el diseño, la responsabilidad de las empresas para establecer mecanismos de garantía en la protección de los derechos de los ciudadanos o las evaluaciones de impacto ahora a tener en cuenta por el citado Reglamento Europeo”.

Desde que Mar España, directora de la AEPD, tomara posesión de este cargo se han sucedido los acuerdos y grupos de trabajo entre el regulador y entidades público y privadas. En esta oportunidad la relación con ISMS Forum Spain, entidad que lleva 20 años trabajando en temas de privacidad y ciberseguridad, ha servido para lanzar conjuntamente este código de buenas prácticas en el que han colaborado empresas y profesionales independientes. El documento toma la estela del Reglamento Europeo de Protección de Datos para fijar criterios y pautas a seguir.

PUBLICIDAD

Desde la AEPD se es consciente que estas iniciativas basadas en Big Data pueden aportar beneficios sociales en sectores clave y nuevas posibilidades de negocio a las organizaciones a partir del análisis de grandes cantidades de datos a los que se aplican algoritmos con el fin de establecer correlaciones o elaborar patrones.

Sin embargo, también surgen dudas y preocupaciones sobre usos que pueden no ser lícitos por realizarse sin respaldo legal o por generar abusos, como la modificación de precios de un producto en función de lo que esté dispuesto a pagar un usuario al que previamente se ha analizado.

PUBLICIDAD

Para la directora de esta entidad “ la generación de perfiles de consumidores o profiling es sin duda uno de los usos principales del Big Data, y puede entrañar riesgos por posibles tratamientos basados en predicciones si se utilizan de forma discriminatoria excluyendo a sectores minoritarios apoyándose en los datos analizados”.

PUBLICIDAD

En este contexto parece evidente que el desarrollo y la puesta en marcha de proyectos de Big Data implica una importante responsabilidad para aquellas entidades que los implementan, que deben preservar la privacidad de las personas adoptando acciones y soluciones de tipo jurídico, organizativo y técnico.

Carlos Sáiz, vicepresidente de ISMS Forum Spain,  explicó, en su intervención,  la estructura de este Código de Buenas Prácticas. “Queremos que sea un punto de partida de referencia práctica para las empresas, con un primer bloque que incluye el régimen jurídico aplicable y cuestiones clave como la definición del responsable del tratamiento de los datos y el encargado”.

En este primer bloque También se analizan las principales implicaciones derivadas de los tratamientos basados estas técnicas, como el origen, calidad y conservación de los datos; la procedencia de los mismos; la trasparencia que se debe ofrecer en la información previa facilitada a los afectados; la obtención del consentimiento de estos o, en su caso, el interés legítimo para tratar esos datos; los usos no previstos en el momento inicial, y el ejercicio de derechos por parte de los ciudadanos cuya información se está tratando.

El segundo bloque examina los aspectos que deben tener en cuenta las entidades que van a utilizar Big Data para garantizar la protección de datos y la privacidad de los ciudadanos, destacando principios como la privacidad desde el diseño o la responsabilidad de las entidades a la hora de establecer mecanismos de garantía y cumplimiento de las obligaciones de protección de datos (accountability).

Igualmente, el documento detalla, entre otros aspectos, la necesidad de realizar evaluaciones de impacto en proyectos de este tipo para minimizar los riesgos o la posibilidad de optar por la anonimización irreversible de los datos. “Hay que darse cuenta que Volumen, Variedad y Velocidad son tres elementos que definen bien al Big Data, indicó Sáiz. Una herramienta con usos tanto a nivel público, privado como de investigación

PUBLICIDAD

Necesidad de un entorno de confianza para desarrollar Big Data

El Código finaliza con una revisión de las medidas tecnológicas imprescindibles en materia de privacidad y seguridad para crear un entorno adecuado de confianza para el desarrollo de tecnologías Big Data. Este es uno de los principales riesgos del uso de esta herramienta tecnológica y en la citada publicación se analizan diferentes situaciones que pueden surgir en el uso del Big Data.

“Es una obra de gran ayuda a las empresas, comenta Antonio Muñoz, senior Legal Counsel de Telefónica Digital uno de los profesionales que han colaborado en esta publicación. “Nuestra empresa creo Chief Data Officer para el análisis de los datos y su gestión en Telefónica. Era lógico que esta Guía tuviera como referencia al Reglamento Europeo de Protección de Datos. En su articulado se habla de la regulación de datos masivos”. Para este experto hay que adaptarse al citado Reglamento mucho antes de su entrada en vigor, en mayo del 2018.

Para Francisco González Calero, abogado senior de Prodat y socio de ISMS Forum, el origen de esta actividad hay que apuntárselo “al  trabajo del recientemente fallecido Emilio Aced sirvió para que tanto la AEPD y nuestra entidad vieran la necesidad de crear ese código de buenas prácticas para abordar estos tratamientos tan innovadores y de actualidad”. A su juicio, las dificultades del tratamiento masivo de datos se centran en el consentimiento de tratar esos datos de los sujetos y la anonimización de esos datos “se ha demostrado que cruzando diferentes variables se puede identificar a la persona, incluso”.

Por su parte, la opinión de Paz Martín, abogada y Directora del Departamento Digital de Herrero y Asociados, indica que “esta guía deja claro los riesgos y amenazas que supone el tratamiento masivo de datos a través de Big Data en las organizaciones”. Desde su punto de vista con el cambio legislativo que se avecina “fruto del propio Reglamento Europeo de Protección de Datos, era muy necesario esta publicación para dar pautas tanto a las grandes como a las pequeñas empresas que no tienen recursos para asesorarse sobre este tipo de temas”.