Recomendaciones para cumplir LOPD y RLOPD en proyectos Big Data

Se le llama RLOPD al Reglamento de desarrollo de la LOPD que se aprobó mediante el Real Decreto 1720/2007 y surgió como marco para desarrollo de los mandatos incluidos en la Ley 15/1999 de Protección de Datos de Carácter Personal así como en la Directiva Europea 95/46 CE.

En lo que se refiere al Big Data, no existen normas específicas que lo regulen. Sin embargo, es la Ley 15/1999 y el Reglamento General de Protección de Datos (RGPD, conocido como GDPR por sus siglas en inglés), el marco legislativo a aplicar.

Big Data implica el tratamiento y gestión de enormes cantidades de datos. Entre ellos se encuentran muchísimos datos personales lo que puede suponer grandes ventajas para las empresas y organizaciones que los utilicen pero también implica riesgos de seguridad que pueden ir en contra del RLOPD. Para minimizarlos se debe prestar especial atención a:

• la calidad de los datos que se utilizan
• su conservación
• el almacenamiento

Medidas que deben tenerse en cuenta para el cumplimiento del RLOPD

Para que se pueda aprovechar completamente el potencial del Big Data y de sus herramientas analíticas, es indispensable que los ciudadanos se sientan seguros y con confianza. Deben estar convencidos de que el cumplimiento del RLOPD se hace sin fisuras. Deben estar convencidos de que sus datos están protegidos y de que si deciden que sean privados, eso se va a cumplir.

Si existen riesgos de privacidad, estos deben haber sido evaluados desde el principio y se deben poner medidas para paliarlos. asegurando que el Big Data se ajusta a la RLOPD.

Hay diferentes estrategias que pueden ponerse en marcha para evitar los riesgos para la privacidad:

• Minimización de datos. Se deben limitar lo máximo posible la cantidad de datos personales.
• Maximizar la agregación. Los datos personales se deben procesar lo máximo posible minimizando al máximo el detalle.
• Ocultar datos. Se deben proteger los datos personales y sus interrelaciones para que los usuarios no puedan verlos.

• Distribuir los datos. Se deben procesar los datos en entornos separados distribuyendolos siempre que sea posible.
• Transparencia. Se debe informar de forma adecuada a todos aquellos que tengan datos personales que vayan a ser tratados.
• Control. Quienes tengan datos personales incluidos en el big data deben poder conocer qué se hace con ellos y ejercer sus derechos.
• Cumplimiento. Se debe cumplir con la política de privacidad que mejor se adecue a los requerimientos legales.
• Demostración. El cumplimiento de las políticas de privacidad o de cualquier requerimiento legal se debe de poder demostrar.

Para cubrir estas estrategias de privacidad pueden emplearse diferentes técnicas, entre ellas:

• Anonimización. Se utiliza para las dos primeras estrategias, minimización de datos y maximizar agregación.
• Encriptación. Para ocultar datos, distribuirlos o separarlos.
• Control de acceso. Para transparencia y control.
• Trazabilidad. Se utiliza para las dos últimas estrategias, cumplimiento y demostración.

Veamos las fases del big data en las que se debe utilizar cada una de estas estrategias de privacidad así como las técnicas a usar:

• Fase de adquisición y recolección:
• Minimización de datos
• Seleccionar antes de adquirir
• EIPD
• Maximizar Agregación
• Anonimización de la fuente origen
• Ocultar datos
• Herramientas de encriptación
• Herramientas de enmascaramiento de datos
• Transparencia
• Informar al interesado
• Control
• Mecanismos para recabar consentimiento
• Fase de Análisis y Validación:
• Maximizar Agregación
• Técnicas de anonimización
• Ocultar datos
• Herramientas de encriptación
• Fase de Almacenamiento:
• Ocultar datos
• Herramientas de encriptación
• Mecanismos de autenticación y control de acceso
• Distribuir los datos
• Almacenamiento distribuido / descentralizado
• Fase de Explotación:
• Maximizar Agregación
• Técnicas de anonimización
• Todas la Fases:
• Cumplimiento y Demostración
• Definición de políticas
• Trazabilidad de las acciones
• Herramientas de cumplimiento