La AEPD, consciente de la relevancia de establecer pautas en los nuevos modelos de explotación de datos, ha publicado un código de buenas prácticas en PD para proyectos Big Data, realizado con la colaboración de diferentes empresas.
La guía de buenas prácticas en PD
La guía de buenas prácticas en PD se divide en 4 apartados:
- El primero hace una definición y contextualización acerca del Big Data, sus usos, riesgos y marcos legales.
- El segundo capítulo define las normas y principales obligaciones legales en materia de privacidad.
- El tercer capítulo menciona los principios y aspectos procedimentales de las buenas prácticas en PD.
- El cuarto capítulo habla de las medidas tecnológicas para la mejora de la privacidad, seguridad y confianza en Big Data.
Probablemente el aspecto más relevante de la guía de buenas prácticas en PD y de mayor aplicación práctica son las estrategias de privacidad más adecuadas que se recomiendan para cada fase de uso de los datos, teniendo en cuenta las fases que suele tener un proyecto de Big Data y las medidas que pueden implementarse para cumplir esas estrategias.
Al margen de todas las técnicas de anonimización y seguridad que pueden incorporarse por fase, el código de buenas prácticas en PD recomienda la adopción de medidas de responsabilidad proactiva que vayan más allá de un enfoque de cumplir requerimientos tasados en una normativa.
Se recomienda el uso de diversas certificaciones de privacidad, existentes tanto a nivel nacional como internacional (aunque muchas no están acreditadas oficialmente). Una de las citadas en el informe como la certificación de privacidad más conocida en Europa, es EuroPrise, que ofrece certificaciones para productos y servicios IT que cumplen con la legislación europea de protección de datos.
Las recomendaciones de la guía de buenas prácticas en PD se clasifican según las fases del Big Data y se dividen en estrategias.
Primera fase: adquisición y recolección
Minimizar:
- Seleccionar antes de adquirir.
- ESPD.
Agregar:
- Anonimización en la fuente origen.
Ocultar:
- Herramientas de cifrado.
- Herramientas de enmascaramiento de datos.
Informar:
- Transparencia: comunicación al interesado
Controlar:
- Mecanismos para recabar consentimiento.
Segunda fase: análisis y validación
Agregar:
- Técnicas de anonimización.
Ocultar:
- Herramientas de cifrado.
Tercera fase: almacenamiento
Ocultar:
- Herramientas de cifrado.
- Mecanismos de autenticación y control de acceso.
Separar:
- Almacenamiento distribuido/descentralizado.
Cuarta fase: explotación
Agregar:
- Técnicas de anonimización.
Todas las fases
Cumplir/demostrar:
- Definición de políticas.
- Trazabilidad de las acciones.
- Herramientas de cumplimiento.
Guía de Protección de Datos por Defecto (PDpD), de oct. 20
La AEPD continúa trabajando en dar guía a las compañías en el cumplimiento del Reglamento General de Protección de Datos. Por lo que, aunque la regulación ya aplica, es necesario tener en cuenta las nuevas pautas para asegurar el cumplimiento de la regulación y de la gestión de datos de manera que se produzca una toma de decisiones acertada en la empresa:
- Reflexión acerca de la configuración: un servicio, sistema o aplicación es «no configurable» cuando en su diseño e implementación existen unos parámetros fijos que determinan de forma inalterable cómo se va a ejecutar el tratamiento (se dice que la funcionalidad está wired-in o cableada). La guía busca, entre otros aspectos, cómo debe asegurarse la configuración teniendo en cuenta la protección de datos.
- Se especifican los 19 controles básicos a verificar en una auditoría de cumplimiento de PDPD.
- Se incluye un anexo detallado con una lista, no exhaustiva/orientativa, de las opciones en las que un tratamiento podría ser «configurable» para implementar las medidas con relación a la cantidad de datos personales utilizados, extensión del tratamiento, periodo de conservación, etc.
¿Qué te pareció este artículo?
Es importante reconocer cuáles son las normativas legales vigentes al respecto en el momento de trabajar en Big Data. Por ello, te invitamos a que sigas instruyéndote en este tema con nuestro Big Data, Inteligencia Artificial & Machine Learning Full Stack Bootcamp, en donde aprenderás el marco legal del tratamiento de datos, entre muchas otras cosas relacionadas con este mundillo. ¡Apúntate ahora y dale un giro a tu vida!