Cada vez se desarrollan más proyectos de Big Data caracterizados por las tres ‘v’ (Volumen, Variedad y Velocidad), pero, ¿sabemos cómo impacta el nuevo Reglamento General de Protección de Datos (RGPD) a estos sistemas? y como puede llegar al Fast Data.

La explotación de grandes cantidades de datos, incluyendo datos personales, mediante la utilización de un conjunto de tecnologías, sistemas y algoritmos, está en pleno auge, ya que permite, ante un volumen ingente de datos, extraer información de valor para la realización de estudios retrospectivos, prospectivos, proyecciones comerciales, establecimiento de perfiles y patrones de uso (tanto para fines estadísticos y científicos como comerciales), etc. Los resultados de estos análisis pueden tener una repercusión directa sobre las personas, por lo que cada vez más llegan a ser motivo de preocupación y se hace necesaria una regulación que salvaguarde la privacidad de las personas en los modelos de Big Data.

Si analizamos los proyectos de Big Data, en líneas generales siguen estas fases:

• La recolección de datos (que puede suponer una compra-venta de información)
• La verificación y validación de los datos
• El almacenamiento (tanto de los datos iniciales como de los resultantes)
• El análisis y explotación de los resultados

Con la entrada en vigor del RGPD, estos proyectos, en el momento que incluyan datos personales, deberán cumplir ciertos requisitos para adecuarse al marco legal europeo de protección de datos y privacidad, así como a exigencias de seguridad de la información, que deberán identificarse antes de afrontarlos. Para asegurarnos del cumplimiento legal, es imprescindible tener en cuenta los siguientes aspectos aplicando las estrategias de privacidad y seguridad que correspondan.

Protección de Datos desde el Diseño

Las primeras fases de un proyecto de Big Data deberían contemplar las medidas técnicas y organizativas que se implementarán, teniendo en cuenta el ciclo de vida que se prevé que tendrán los datos. Por defecto se definirán medidas técnicas que permitan seudonimizar, anonimizar, cifrar, controlar los accesos, monitorizar y asegurar la trazabilidad de la información.

Análisis de las fuentes de información, origen, tipología de los datos y terceros involucrados

Se requiere un análisis previo de la tipología de datos necesarios, las finalidades iniciales para los cuales fueron recogidos y el consentimiento de los interesados, las finalidades futuras para los cuales se explotarán, así como la caducidad de los mismos. También se asegurará que los datos que se van a recolectar no sean excesivos cara a la finalidad de su tratamiento, así como la calidad de los mismos.

Con este análisis se debe dar respuesta a los principios del RGPD (art.5) de licitud, lealtad y transparencia, limitación de la finalidad, exactitud, minimización y conservación de datos. Es importante indicar aquí, que la legislación aplica tanto a los datos visibles como a los invisibles, es decir, tanto a los datos como a los metadatos.

En todo caso será imprescindible revisar la compatibilidad entre la finalidad inicial y la finalidad futura, así como poder demostrar un interés legítimo para el tratamiento que se vaya a realizar.

En esta fase se identificarán posibles encargados de tratamiento, por ejemplo, posibles proveedores que suministren plataformas de cloud computing o que realicen las instalaciones y mantenimientos de las herramientas tecnológicas, teniendo en cuenta las responsabilidades que se deben asumir en estos casos y las garantías a cumplir que exige la ley.

Entre las primeras medidas de seguridad a implementar se contemplará la anonimización de los datos en su origen debiendo definir la técnica de anonimización, así como valorar los riesgos de una posible re-identificación. Estos riesgos deberán ser comunicados a los destinatarios y usuarios de la información anonimizada.  La Agencia Española de Protección de Datos ha publicado una Guía para la Anonimización de Datos Personales que puede orientarnos en este aspecto.

Designación de un Delegado de Protección de Datos y Evaluación de impacto sobre la Protección de Datos

No hay que olvidar que los proyectos de Big Data, al manejar un volumen de datos personales a gran escala, entran en la categorización que obliga a designar un Delegado de Protección de Datos (DPO) y realizar una Evaluación de impacto sobre la Protección de Datos (EIPD), aplicando las medidas de seguridad resultantes de esta evaluación y necesarias para el tratamiento de información que se realice en el proyecto.

Consentimiento, información y derechos

Desde el inicio del proyecto se deberá definir cómo se recabará el consentimiento y cuáles serán los mecanismos para informar en caso necesario a las personas cuyos datos se están tratando y de qué manera pueden ejercer sus derechos cumpliendo los requisitos del RGPD.

Almacenamiento de los datos

En relación a la conservación de los datos, es obligatorio establecer las medidas de seguridad que resulten tanto del Análisis de Riesgos como de la Evaluación de Impacto. Estas medidas de seguridad, principalmente tecnológicas, deberán contemplar el cifrado, el control de acceso y la monitorización del mismo. Se deberán realizar auditorías periódicas para asegurar que estas medidas de seguridad se mantienen a lo largo del tiempo.

También es necesario revisar la información almacenada en cumplimiento del principio de calidad de los datos personales, verificando que la finalidad del tratamiento sigue compatible con la inicial, que los datos están actualizados y son exactos y limitados a lo necesario en función del objetivo del proyecto.

También te puede interesar la tecnología de Fast data 🏅

Medidas técnicas y tecnológicas a implementar en cada fase de un proyecto Big Data

A modo de resumen incluimos el siguiente gráfico, describiendo a alto nivel las posibles medidas a contemplar desde el diseño y a implementar en cada fase:

 Siguiendo todas estas recomendaciones y aplicando la normativa del RGPD, podremos realizar proyectos de Big Data salvaguardando la privacidad de las personas y cumpliendo la legislación vigente.