Las posibilidades inherentes a las tecnologías Big Data se plasman en la consecución de valiosos beneficios sociales y económicos. Pero proyectos de esta índole, cimentados en el procesamiento de ingentes cantidades de datos personales, exigen un despliegue de medidas dirigidas a coartar la proliferación de prácticas ilícitas por abusivas o carecer de cobertura legal.
Un marco legal consolidado, la LOPD y la LSSICE, y la irrupción del RGPD
El abordaje de los nuevos retos del manejo de información masiva impone a las empresas un exhaustivo nivel de formación, sujetas todas ellas al marco normativo, que desde hace más de una década delimita el campo de la protección de datos personales. Disposiciones como la LOPD y la LSSICE se erigen en las máximas valedoras del respeto a los derechos y obligaciones de todos los protagonistas involucrados en la cesión y captación de datos.
En este orden de cosas, la AEPD, en colaboración con ISMS Forum Spain, ha editado un código de buenas prácticas llamado a ser una suerte de guía conductual para entidades y organizaciones inmersas en la gestión de este modelo de tratamiento masivo de datos. Adopta como soporte el Reglamento General de Protección de Datos (RGPD), cuyo horizonte de entrada en vigor lo establece el próximo 25 de mayo y en cuya columna vertebral destaca la exigencia de una mayor implicación y proactividad por parte de los responsables y encargados de tratamiento así como la necesidad de identificar riesgos existentes para los datos con la finalidad de aplicar las medidas de seguridad más eficaces y útiles. Entre las principales novedades, destacan las siguientes:
Principio de privacidad desde el diseño
Está inspirado en que los instrumentos de garantía de la protección de datos impregnen el espíritu de los procedimientos y sistemas desde su misma gestación. En la práctica, se traduce en incorporar, ya en la génesis de cada proyecto, medidas que tomen en consideración los riesgos que afectan a los derechos de los titulares de esos datos.
Principio de accountability
Estrechamente ligado a la responsabilidad social corporativa o institucional, implica una actitud consciente, diligente y proactiva por parte de las entidades frente a todos los tratamientos de datos personales que realice. Por una parte, supone la implantación de medidas técnicas y organizativas idóneas en función del riesgo existente en dichos tratamientos y, por otra parte, estar en disposición de acreditar tal cumplimiento.
Evaluaciones de impacto de la protección de datos
Se configuran como una medida de responsabilidad activa basada en determinar con carácter previo a su puesta en marcha si los proyectos que llevan asociado el manejo de información de carácter personal entrañan riesgos de lesionar el derecho a la protección de datos, permitiendo la cuantificación de su repercusión en los titulares de los mismos.
La cobertura de una consultoría de protección de datos
En este escenario, el papel de la consultoría de protección de datos se ha tornado esencial para hacer frente a los desafíos del Big Data y ser fieles a la línea trazada por el Código de buenas prácticas, con el que la AEPD pretende poner coto a toda suerte de usos ilegales y atentados contra la privacidad del ciudadano.