Se le llama RLOPD al Reglamento de desarrollo de la LOPD que se aprobó mediante el Real Decreto 1720/2007 y surgió como marco para desarrollo de los mandatos incluidos en la Ley 15/1999 de Protección de Datos de Carácter Personal así como en la Directiva Europea 95/46 CE.
En lo que se refiere al Big Data, no existen normas específicas que lo regulen. Sin embargo, es la Ley 15/1999 y el Reglamento General de Protección de Datos (RGPD, conocido como GDPR por sus siglas en inglés), el marco legislativo a aplicar.
Big Data implica el tratamiento y gestión de enormes cantidades de datos. Entre ellos se encuentran muchísimos datos personales lo que puede suponer grandes ventajas para las empresas y organizaciones que los utilicen pero también implica riesgos de seguridad que pueden ir en contra del RLOPD. Para minimizarlos se debe prestar especial atención a:
- la calidad de los datos que se utilizan
- su conservación
- el almacenamiento
Medidas que deben tenerse en cuenta para el cumplimiento del RLOPD
Para que se pueda aprovechar completamente el potencial del Big Data y de sus herramientas analíticas, es indispensable que los ciudadanos se sientan seguros y con confianza. Deben estar convencidos de que el cumplimiento del RLOPD se hace sin fisuras. Deben estar convencidos de que sus datos están protegidos y de que si deciden que sean privados, eso se va a cumplir.
Si existen riesgos de privacidad, estos deben haber sido evaluados desde el principio y se deben poner medidas para paliarlos. asegurando que el Big Data se ajusta a la RLOPD.
Hay diferentes estrategias que pueden ponerse en marcha para evitar los riesgos para la privacidad:
- Minimización de datos. Se deben limitar lo máximo posible la cantidad de datos personales.
- Maximizar la agregación. Los datos personales se deben procesar lo máximo posible minimizando al máximo el detalle.
- Ocultar datos. Se deben proteger los datos personales y sus interrelaciones para que los usuarios no puedan verlos.
- Distribuir los datos. Se deben procesar los datos en entornos separados distribuyendolos siempre que sea posible.
- Transparencia. Se debe informar de forma adecuada a todos aquellos que tengan datos personales que vayan a ser tratados.
- Control. Quienes tengan datos personales incluidos en el big data deben poder conocer qué se hace con ellos y ejercer sus derechos.
- Cumplimiento. Se debe cumplir con la política de privacidad que mejor se adecue a los requerimientos legales.
- Demostración. El cumplimiento de las políticas de privacidad o de cualquier requerimiento legal se debe de poder demostrar.
Para cubrir estas estrategias de privacidad pueden emplearse diferentes técnicas, entre ellas:
- Anonimización. Se utiliza para las dos primeras estrategias, minimización de datos y maximizar agregación.
- Encriptación. Para ocultar datos, distribuirlos o separarlos.
- Control de acceso. Para transparencia y control.
- Trazabilidad. Se utiliza para las dos últimas estrategias, cumplimiento y demostración.
Veamos las fases del big data en las que se debe utilizar cada una de estas estrategias de privacidad así como las técnicas a usar:
- Fase de adquisición y recolección:
- Minimización de datos
- Seleccionar antes de adquirir
- EIPD
- Maximizar Agregación
- Anonimización de la fuente origen
- Ocultar datos
- Transparencia
- Control
- Mecanismos para recabar consentimiento
- Fase de Análisis y Validación:
- Maximizar Agregación
- Técnicas de anonimización
- Ocultar datos
- Herramientas de encriptación
- Fase de Almacenamiento:
- Ocultar datos
- Herramientas de encriptación
- Mecanismos de autenticación y control de acceso
- Distribuir los datos
- Almacenamiento distribuido / descentralizado
- Fase de Explotación:
- Maximizar Agregación
- Técnicas de anonimización
- Todas la Fases:
- Cumplimiento y Demostración
- Definición de políticas
- Trazabilidad de las acciones
- Herramientas de cumplimiento