Desde que conociéramos la pérdida de datos de nada menos que de 50 millones de usuarios con el caso Facebook y Cambrige Analytica el nivel de confianza en el Big Data, y sus posibilidades, ha quedado nuevamente dañado cuando el tratamiento de datos masivos y su procesamiento y gestión son contrarios a los intereses de los usuarios.

Precisamente el nuevo marco europeo que se abre con el nuevo Reglamento General de Protección de Datos (RGPD), que entrará en vigor el próximo mes de mayo, pone el foco en cómo se deben tratar los datos de terceros, buscando que sea cada sujeto el que tenga que autorizar de forma explícita el propósito del procesamiento a la hora de ceder sus datos.

La transparencia en la gestión de la información va a ser, por tanto, imprescindible en las compañías, independientemente de su tamaño, que deben también analizar cuáles son los riesgos que se derivan de la utilización de información de terceros, más aún en aquellas organizaciones que manejan datos personales a gran escala.

¿Qué se considera riesgo en la gestión de datos? Consideraciones del RGPD

Si acudimos a la Real Academia de la Lengua riesgo es “contigencia o proximidad e un daño”. En el caso del tratamiento de datos supone “la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas”. Por lo tanto, según la Agencia Española de Protección de Datos, riesgo en la gestión de datos “desde la perspectiva de la privacidad nos lleva a todo tipo de amenaza con consecuencias negativas sobre el tratamiento de datos de carácter personal”, siendo éstas de tres tipos:

  • Acceso ilegítimos a los datos. Confidencialidad. Es decir ¿qué daño causaría que conocieran esos datos quién no debiera?
  • Modificación no autorizada de los datos. Integridad que se refiere al perjuicio.
  • Eliminación de los datos. Disponibilidad al señalar el perjuicio que causaría no tener un dato o no poder utilizarlo.

Para poder llevar acciones que establezcan medidas de seguridad y control para garantizar los derechos y libertades, la denominada gestión de riesgos es imprescindible dentro del marco de RGPD. Se trata del conjunto de actividades y tareas que permiten, en cierta forma, controlar la incertidumbre relativa a una amenaza, incluyendo en este proceso desde la identificación y evaluación del riesgo, así como las medidas para la reducción.

Seguridad y principios en el tratamiento de los datos

La seguridad del tratamiento es un aspecto básico recomendando en el artículo 32 de la normativa, que señala ya cuáles deben ser las medidas, técnicas y organizativas, apropiadas para garantizar un óptimo nivel de seguridad. Éstas deben incluir:

  • Seudonimización y cifrado de datos personales.
  • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
  • Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Así mismo, el artículo 5 del RGPD indica cuáles son los principios relativos al tratamiento de datos personales y que convienen tener muy en cuenta a la hora de afrontar cualquier proyecto de Big Data y de análisis de datos, que tienen sus fases más críticas tanto en recolección de datos, como la validación  y verificación de los mismos. Los principios son:

  • Licitud, lealtad y transparencia.
  • Limitación de la finalidad.
  • Minimización de datos.
  • Plazo de conservación.
  • Integridad y confidencialidad.

Hacia una mejor gobernanza de los datos

Sin embargo, uno de los puntos clave del Reglamento, a diferencia de lo anteriormente vigente, es que ahora se otorga al usuario un pleno control de sus datos, pero también sobre el procesamiento de éstos,  dándole capacidad de disponer  y decidir sobre la gestión  los mismos.

La normativa pone fin al denominado consentimiento tácito, requiriendo por parte del usuario una manifestación inequívoca sobre el mismo Clic para tuitear

La normativa afecta claramente a todos los procesos de gestión y tratamiento de datos, especialmente a los datos masivos, al poner fin al denominado consentimiento tácito, requiriendo por parte del usuario una “manifestación inequívoca o clara acción afirmativa” sobre el mismo.

Además, obliga a dar más información, instaurando tanto los análisis de riesgo, como evaluaciones previas de sobre los datos, obligando a comunicar, en el plazo de 72 horas, cualquier brecha o incidente de seguridad a la autoridad competente,  haciendo necesaria, en aquellas compañías que manejan datos especialmente sensibles, la presencia del Delegado de Protección de Datos.

No cabe duda que el nuevo Reglamento General de Protección de Datos cambiará notablemente el mundo del Big Data hacia una mejor gobernanza de los datos, señalando a desafíos importantes tanto en materia de almacenamiento, como de alineación de equipos y adaptabilidad,  ya que implementar soluciones ágiles y flexibles a los cambios será imprescindible para tener una adecuada gestión de los datos de terceros.

El camino  hacia el cumplimiento del RGPD no ha  hecho nada más que comenzar. La seguridad en el tratamiento de los datos nos incumbe a todos.