La evaluación de impacto de transferencias internacionales (Parte...
Una vez que tenemos claro a dónde van los datos personales de nuestra responsabilidad, y...
0A lo largo de las presentes líneas abordaremos los principales aspectos que deben ser tomados en consideración a la hora de iniciar un tratamiento de Big Data.
Anonimización. Debe tenerse en cuenta que si el tratamiento de datos de Big Data se realiza sobre información completamente anonimizada no se considerará dato de carácter personal y no aplicará la normativa de protección de datos y que, si el tratamiento de datos de Big Data se realiza sobre datos personales, sí que aplicará la normativa de protección de datos personales.
Pero debe advertirse que anonimizar es eliminar cualquier variable de identificación. El avance de la técnica ha determinado que lo que en un determinado momento es irreversible, puede no serlo en el futuro. Además, el riesgo cero no existe en ningún aspecto relacionado con la seguridad y la privacidad y en este caso no iba a ser una excepción.
Transparencia. Tanto si los datos provienen directamente del interesado como si provienen de otra fuente, se deberá facilitar información conforme al artículo 13 o 14 del RGPD. Es más, cuando se informa sobre los usos y finalidades previstos, se deberá incluir información clara y sencilla sobre el tratamiento realizado por los algoritmos que intervienen en el tratamiento, con las dificultades que ello conlleva.
Base jurídica del tratamiento. Partiendo de los supuestos en los que la información no está anonimizada, por lo que aplica el RGPD, se debe determinar la base jurídica del tratamiento. Como indica el Código de buenas prácticas en protección de datos para proyectos de Big Data, no existe una única legitimación al tratamiento. Se debe determinar antes de iniciar el tratamiento si encaja en alguno de los supuestos de legitimación y en caso contrario, solicitar el consentimiento expreso.
Minimización de los tratamientos. Este principio debe ser estudiado concienzudamente ya que al realizarse tratamientos masivos de datos pueden recolectarse datos excesivos con las finalidades del tratamiento. En base a este principio tampoco se pueden recoger mas datos de los necesarios para futuras necesidades no previstas en el momento inicial.
Origen de los datos. El Big Data de nutre de fuentes endógenas y exógenas. en relación con las segundas deberemos cerciorarnos que el dato ha sido obtenido legítimamente por la entidad que lo facilita. También se debe tener presente que los metadatos asociados a una información primaria también están sometidos al RGPD.
Derechos de los interesados. En relación con el ejercicio de derechos se plantea la problemática de posibilitar permanentemente un sistema para que los interesados puedan ejercitar sus derechos debido a que estos tratamientos se suelen prologar en el tiempo. De esta manera la utilización de las denominadas PETs (Privacy Enhanced Technologies) respetuosas con el usuario y en las que tenga permanentemente el control sobre sus datos, pueden ser una buena opción.
De entre todos los derechos cabe destacar la especialidad para tratamientos de Big Data en relación con el derecho de portabilidad. En este sentido, el Grupo de Trabajo del Artículo 29 en sus Directrices sobre la aplicación del derecho a la portabilidad considera que el concepto de datos facilitados por el interesado incluye los datos proporcionados de manera activa por el interesado y los datos observados a partir de esos datos facilitados (datos de ubicación, búsqueda, ritmo cardiaco, etc) pero no incluye dentro de los datos sujetos al derecho a la portabilidad a los datos inferidos o deducidos que hayan sido creados por el responsable de tratamiento a partir de los datos proporcionados por el interesado (como pueden ser los resultados algorítmicos).
Evaluación de impacto en protección de datos. En la mayoría de los tratamientos de Big Data será necesario realizar una EIPD. Incluso si los datos se van a anonimizar, sería conveniente realizar una evaluación de impacto limitada al proceso de anonimización y riesgo residual de reidentificación.
Seguridad. En materia de seguridad de los tratamientos hay diferentes aspectos a tener en cuenta dependiendo de la fase de tratamiento. Debe tenerse en cuenta que el valor de la información puede ser muy preciado por cibercriminales o simplemente por la competencia. Inclusive el propio algoritmo que realiza el tratamiento puede ser codiciado. El Código de buenas prácticas en proyectos de Big Data establece las principales medidas de seguridad que se deben tener en cuenta en estos tratamientos:
El equipo de profesionales de Govertis