Actualmente, el Big Data es empleado por gran cantidad de organizaciones, tanto públicas como privadas, para analizar, interpretar y predecir comportamientos. Pero estos tratamientos masivos de datos personales, que pueden aportar ventajas en los procesos de toma de decisiones y en la gestión y administración de ciertos recursos, también pueden entrañar riesgos para los ciudadanos, motivo por el cual se han establecido diferentes normas para regular su uso. En este artículo vamos a ver la relación entre Big Data y protección de datos.
En este artículo hablamos de:
¿Qué son los datos personales en el Big Data?
Antes de abordar qué son los datos personales en el Big Data o datos masivos, nos detenemos en definir brevemente qué es el Big Data; se trata de la recopilación y análisis de cantidades masivas de datos, para poder obtener de ellos nueva información con valor para la empresa, ya que genera nueva información que era desconocida hasta el momento.
Dado que actualmente esos datos masivos provienen de fuentes digitales y tecnológicas, procesarlos requiere del uso medios informáticos y sistemas de IA, puesto que parte de su importancia reside también en la velocidad y la variedad de datos tratados. El objetivo es que la información extraída sirva para facilitar la toma de decisiones y, en el caso de las empresas, la búsqueda de nuevas oportunidades de negocio o mejora de las ya existentes.
Ahora, cuando hablamos de datos personales en el Big Data, nos referimos a la recopilación y análisis de datos referentes a personas físicas y que tienen la consideración de dato personal, es decir, a través de ellos se puede identificar a un individuo (por ejemplo, la dirección IP, los datos de navegación, el nombre, la dirección de correo electrónico, etc.). Las empresas los usan especialmente para la elaboración de perfiles, que pueden emplear, por ejemplo, para personalizar la publicidad que se muestra en un determinado sitio online.
Si bien es cierto que las tecnologías empleadas en el Big Data anonimizan los datos, de manera que ya no pueden considerarse personales, es necesario seguir contemplando el RGPD al usar el Big Data, como veremos a lo largo de los siguientes puntos.
El impacto del RGPD en el Big Data
Cuando se aprobaron las primeras normativas de protección de datos personales, ni el Big Data ni la tecnología que lo hace posible estaban plenamente desarrollados. Sin embargo, esa situación ha ido cambiando drásticamente con el paso de los años y esas leyes que se aprobaron a finales del siglo XX demostraron ser insuficientes ante técnicas y herramientas de análisis que permiten interpretar y cruzar datos y, lo más preocupante, identificar personas a partir de datos que habían sido anonimizados o seudonimizados para su tratamiento.
El Reglamento General de Protección de Datos europeo (RGPD) se creó con el objetivo de devolver a los ciudadanos un mayor control sobre sus datos personales, obligando a las organizaciones a informar a estos del uso y finalidad de los tratamientos de los datos que les ceden, de cuándo se recaban esos datos y para qué, así como quiénes tiene acceso a los mismos. Y también a recabar el consentimiento de los interesados (ciudadanos) para llevar a cabo el tratamiento de sus datos.
Además, el RGPD también insta a las organizaciones a la minimización del tratamiento de datos personales, algo que parece chocar de lleno contra el Big Data, sin embargo, a día de hoy, se sigue empleando y el valor de los datos no parece más que seguir aumentando.
¿Quiere eso decir que la normativa de protección de datos no haya tenido ningún impacto en el Big Data y su uso? No exactamente, especialmente porque se puede ejercer un mayor control sobre cómo emplean las organizaciones los datos personales, quizás no tanto a nivel de ciudadano particular, pero sí desde organizaciones y entidades que vigilan y denuncian malas prácticas relativas a la protección de datos.
Además, la normativa de protección de datos, aunque va por detrás del desarrollo tecnológico, sigue evolucionando y adaptándose a los tiempos, como muestra el desarrollo del reglamento e-Privacy sobre el que trabaja la Comisión Europea y que vendrá a completar varios aspectos que el RGPD no regula.
Protección de Datos y Biga Data ¿Cómo le afecta la normativa?
Big Data y protección de datos personales son ya dos conceptos que van de la mano, puesto que para garantizar que el primero no afecta a los derechos y libertades de los ciudadanos, es necesario aplicar los principios y reglas recogidos tanto el RGPD como en la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales).
Ahora, y como hemos mencionado más arriba, cuando se emplea el Big Data para el análisis e interpretación de grandes volúmenes de datos, lo cierto es que no estaríamos hablando de datos personales, en tanto en cuanto los datos empleados en el Big Data están anonimizados o seudonimizados, es decir, no hacen referencia a personas y, por tanto, no identifican individuos, aunque se empleen para crear patrones de comportamiento, tendencias o predicciones.
Sin embargo, el tratamiento de datos a gran escala entraña riesgos, puesto que, como hemos dicho, en el Big Data se pueden cruzar datos y ya ha habido casos en los que se ha podido re-identificar a personas desde datos anonimizados o seudonimizados.
Por ello es necesario que las empresas que hacen uso del Big Data cumplan con las obligaciones de la normativa de protección de datos, especialmente en lo que a seguridad de los datos se refiere.
La protección de datos personales como derecho fundamental
Lo primero que las organizaciones que recurren al Big Data deben tener en cuenta es que la protección de datos personales es un derecho fundamental, reconocido tanto en la Carta de Derechos Fundamentales de la UE y el Tratado de Funcionamiento de la UE como en la Constitución Española, cuyo artículo 18 garantiza el derecho al honor, a la intimidad personal y a la propia imagen y añade en su apartado 4 que:
La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
La protección de este derecho, por tanto, se ha articulado a través del RGPD a nivel europeo y de la LOPDGDD a nivel nacional, si bien ambas leyes contemplan básicamente los mismos principios, obligaciones y régimen sancionador.
Ámbito de aplicación
El RGPD se aplica dentro de la UE y el EEE (Espacio Económico Europeo) y afecta a aquellas organizaciones que lleven a cabo el tratamiento de datos personales, tanto automatizado como no automatizado, se emplee o no para la elaboración de perfiles.
También afecta a aquellas organizaciones fuera de la UE o del EEE que traten datos de ciudadanos residentes en Estados miembros.
Respecto a la LOPDGDD, al tratarse de una ley nacional, su ámbito de aplicación se limita a las organizaciones que operan en España.
Ambas normativas solo se aplican cuando se tratan datos personales, es decir, aquellos que permiten identificar a una persona física, y cuando dicho tratamiento no se debe a actividades exclusivamente personales o domésticas. Y afectan al responsable del tratamiento (la entidad física o jurídica que lleva a cabo el tratamiento de datos personales) como al encargado del tratamiento (entidad física o jurídica que lleva a cabo el tratamiento de datos por cuenta del responsable).
Derechos de los interesados
Como decíamos, el RGPD otorga a los ciudadanos un mayor control sobre sus datos personales, para ello reconoce una serie de derechos en la protección de datos, los denominados derechos ARSULIPO (antiguos derechos ARCO), que los ciudadanos pueden ejercer en cualquier momento sobre los datos personales que hayan cedido a las organizaciones.
Estos derechos obligan a los responsables del tratamiento a ser más transparentes con los ciudadanos respecto al tratamiento de sus datos, para que estos sepan con qué fines son utilizados sus datos. Pensemos por ejemplo en la elaboración de perfiles automatizados que permite el uso del Big Data; estos perfiles pueden emplearse para tomar decisiones que pueden afectar a los ciudadanos, por ejemplo, para negar un crédito o un seguro.
Por ello, las organizaciones que manejan datos personales están obligadas a informar de ello a los ciudadanos a través de la política de privacidad, en la que debe especificarse:
- La identidad y datos de contacto del responsable del tratamiento
- La identidad y datos de contacto del Delegado de Protección de Datos
- La legitimación legal del tratamiento
- La finalidad del tratamiento
- Las cesiones de datos a terceros (pensemos que muchas organizaciones recurren a otras compañías especializadas en Big Data, tanto para su almacenamiento y gestión como para su análisis e interpretación)
- Las transferencias internacionales de datos y las correspondientes garantías
- El plazo de conservación de los datos
Esta información debe ser clara y comprensible, además de poder accederse a ella de forma sencilla.
Se trata de que los ciudadanos sepan en qué se emplean sus datos personales y cómo les puede afectar su tratamiento.
Pero no solo se trata de saber con qué fines se recaban y tratan nuestros datos personales, sino también puede limitar su uso o impedirlo completamente. Es aquí donde entran en juego los derechos ARSULIPO:
-
- Acceso a los datos personales por parte de los interesados, incluidos los detalles sobre el tratamiento que se hace de ellos
- Rectificación de los datos personales cuando estos son incorrectos o incompletos
- Supresión de los datos que puedan ser inadecuados o excesivos
- Oposición al tratamiento de los datos personales
- Portabilidad, permite al interesado solicitar sus datos personales en un formato estructurado y claro para facilitárselo a otro responsable
- Olvido (supresión), a través del cual el interesado puede solicitar la eliminación completa de sus datos personales
- Limitación del tratamiento de los datos personales
- Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, que puedan producir efectos jurídicos sobre el titular de los datos. Por lo tanto, este derecho está relacionado con el uso del Big Data.
Cualquier ciudadano que haya dado su consentimiento para el tratamiento de sus datos personales, puede en cualquier momento solicitar el ejercicio de estos derechos al responsable del tratamiento que no podrá obstaculizar o negarse a ello.
Mecanismos de gobierno y rendición de cuentas
La protección de datos personales debe ser proactiva y aplicar los principios de privacy by design (privacidad desde el diseño) y privacy by default (privacidad por defecto). Es decir, los responsables del tratamiento deben implementar las medidas de seguridad necesarias para garantizar la protección de datos tanto en el momento de diseñar los tratamientos como durante los propios tratamientos.
Entre esas medidas se debe recurrir a:
- La minimización de datos, es decir, tratar solo los datos personales necesarios para la finalidad que se recaban
- La seudonimización de los datos para impedir que se pueda conocer la identidad de una persona sin aplicar información adicional
Teniendo en cuenta lo que dijimos en puntos anteriores sobre el Big Data y la posibilidad de re-identificar personas al cruzar datos, y que esta técnica emplea datos a gran escala y contradice en sí al principio de minimización, parece que estas dos medidas no serían suficientes para garantizar que se cumple con las exigencias del RGPD y la LOPDGDD.
Por ello, se hace necesario llevar a cabo una evaluación de impacto en protección de datos siempre que los tratamientos de datos impliquen o puedan implicar riesgos para los derechos y libertades de los interesados, como ocurre con el tratamiento a gran escala, la elaboración de perfiles o las decisiones basadas en el tratamiento automatizado de datos, todo ello derivado del empleo del Big Data.
Además, las organizaciones que tratan datos personales deben poder demostrar que cumplen con la normativa de protección de datos ante las autoridades de control (en España, esta autoridad es la Agencia Española de Protección de Datos) y los propios interesados.
¿Cómo pueden hacer esto los responsables del tratamiento? Mediante la implementación de medidas técnicas y organizativas que garanticen la salvaguarda y protección de datos y realizando auditorías que validen la efectividad y adecuación de dichas medidas. Así como recurriendo a la adhesión a códigos de conducta y mecanismos de certificación, que evaluarán su nivel de cumplimiento normativo.
También es necesario documentar todos los tratamientos de datos personales que se realizan en la organización, para lo que se llevará un registro documental, en concreto el registro de actividades de tratamiento, donde se recogerá toda la información relativa a dicho tratamiento (finalidad, responsable, categorías de datos, interesados y destinatarios, medidas de seguridad, etc.).
Así mismo, cuando las organizaciones emplean el Big Data, deberán designar a un Delegado de Protección de Datos (DPO), puesto que el tratamiento sistemático de datos a gran escala es uno de los supuestos que contempla el RGPD para el nombramiento de esta figura, encargada de supervisar el cumplimiento normativo en la organización.
Encargado y responsable del tratamiento
Hay que tener en cuenta que para poder utilizar las herramientas y técnicas del Big Data, muchas veces las organizaciones deben recurrir a terceros, es decir, contratar diferentes servicios o soluciones tecnológicas que le permitan analizar e interpretar los datos recogidos, incluso para recabar dichos datos, puesto que muchos de ellos provienen de fuentes indirectas y no del propio interesado.
En ese sentido, es necesario que el responsable del tratamiento firme un contrato de encargo con esos terceros que van a tener acceso a los datos personales que maneja la organización.
Mientras el responsable del tratamiento será quien decida los propios tratamientos y su finalidad, tanto él como el encargado del tratamiento deben establecer e implementar las medidas técnicas y organizativas que garanticen la protección de los datos y que ya vimos en el punto anterior.
Además, el encargado del tratamiento debe respetar las instrucciones dadas por el responsable, así como la confidencialidad. Y suprimir o devolver los datos personales una vez el tratamiento finalice.
Seguridad de los datos
Las brechas de seguridad se han convertido en un problema recurrente para la protección de datos y no son pocos los casos que se han producido de filtraciones masivas de datos personales de ciudadanos.
El tratamiento de datos en el Big Data exige un mayor control sobre la seguridad de los datos e implantar medidas que, ante una brecha de seguridad, dificulten o impidan la identificación de los interesados. Si la seudonimización o la anonimización de los datos resulta insuficiente, recurrir al cifrado de los mismos puede dar mayores garantías, igual que reforzar las medidas de seguridad para impedir accesos no autorizados, así como contar con copias de seguridad que permitan la recuperación de los mismos, para garantizar su integridad y veracidad.
Además, ante una brecha de seguridad que ponga en riesgo los derechos y libertades de los interesados, el RGPD obliga a informar en un plazo no superior a 72 a las autoridades de control (la AEPD) y los propios interesados, para que estos puedan tomar aquellas medidas que estimen oportunas respecto a los datos que hayan podido quedar expuestos.
Dado el riesgo que implica el tratamiento de datos en el Big Data para la privacidad y la protección de datos, solo por la cantidad de datos personales que podrían verse afectados en un incidente de seguridad, la importancia de la evaluación de impacto es todavía mayor, puesto que va a permitir determinar los riesgos que se derivan de ese tratamiento y ayudará a diseñar las medidas de seguridad necesarias para minimizarlo todo lo posible.
Códigos de conducta
Los responsables y encargados del tratamiento que quieran demostrar su cumplimiento normativo en materia de protección de datos y Big Data, pueden recurrir, como ya señalamos, a la adhesión a códigos de conducta y certificaciones reconocidos por la UE y las autoridades de control correspondientes.
Esto es especialmente útil cuando quien lleva a cabo el tratamiento de datos personales de ciudadanos europeos, no se encuentra dentro de la UE o el EEE, como puede ocurrir con algunas empresas que ofrecen servicios de cloud computing, empleados en el Big Data.
Transferencias internacionales de datos
Siguiendo con el punto anterior, cuando los datos personales son transferidos a organizaciones fuera de la UE y el EEE, se consideran transferencias internacionales de datos y el RGPD establece que para que esas transferencias puedan efectuarse, deben darse una serie de garantías:
- La inclusión de cláusulas contractuales tipo de protección de datos aprobadas por la Comisión Europea
- Las Normas Corporativas Vinculantes dentro de grupos empresariales o unión de empresas dedicadas conjuntamente a una misma actividad económica, con una de ellas, al menos, dentro de la UE o el EEE y resto en terceros países. Estas normas son las políticas de protección de datos personales asumidas por el responsable o el encargado del tratamiento
- Adhesión a un código de conducta o certificación aprobados por la UE
En ausencia de estas garantías, las transferencias internacionales de datos personales solo pueden hacerse:
- Bajo el consentimiento expreso e informado del interesado
- Cuando sea necesario para cumplir con las condiciones de un contrato entre responsable e interesado
- Por razones de interés público
- Para el reconocimiento, ejercicio o defensa de reclamaciones
- Para proteger intereses vitales del interesado o de terceros y el interesado esté incapacitado física o jurídicamente para dar su consentimiento
- Se realice desde un registro público
Las condiciones para las transferencias internacionales de datos han hecho que varias empresas que manejan datos a gran escala, hayan abierto sedes dentro de la UE o el EEE, como por ejemplo, Facebook en Irlanda.
Sanciones
Hablar de sanciones respecto al Big Data y la protección de datos, es hablar de cuantías elevadas, puesto que las infracciones, tanto por negligencia como de forma intencional, afectarán siempre a una gran cantidad de interesados.
Desde la entrada en vigor del RGPD en 2016 (en Europa, en España lo hizo en 2018), varias compañías han sido sancionadas por no cumplir con diferentes aspectos de la normativa de protección de datos.
Ejemplos como la sanción de 100 millones de euros que la autoridad de control francesa impuso a Google LLC y Google Irlanda por usar cookies sin el consentimiento de los interesados, o la multa de 204 millones de euros que la autoridad inglesa impuso a British Airways por no haber tomado las medidas de seguridad adecuadas para evitar la brecha de seguridad que dejó al descubierto datos personales de 500.000 clientes, ponen de manifiesto el impacto que normativa de protección de datos puede llegar a tener sobre las empresas que manejan datos a gran escala.
El régimen sancionador el RGPD establece las siguientes sanciones:
- 10 millones de euros o el 2% de la facturación anual (la cuantía que resulte más elevada) para infracciones graves
- 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte más elevada) para infracciones muy graves
Conclusión
De todo lo expuesto sobre el Big Data y el RGPD, podemos concluir que las organizaciones que recurrían al uso masivo de datos para mejorar sus procesos de toma de decisiones mediante el análisis e interpretación de datos, deben implementar todas las medidas técnicas y organizativas que garanticen que cumplen con las exigencias y obligaciones de la normativa de protección de datos.
En el Big Data los datos están anonimizados o seudonimizados, pero el propio avance y desarrollo de las tecnologías que hacen posible el uso de estas técnicas, también posibilitan que la identidad de los interesados quede expuesta, con todos los riesgos que para sus derechos y libertades implica.
Cumplir con la ley de protección de datos al usar Big Data no solo debe estar motivado por evitar posibles sanciones, sino también para salvaguardar esos derechos y libertades, especialmente cuando, pese a que es obligatorio obtener el consentimiento e informar sobre el tratamiento de datos a los interesados, estos la gran mayoría de las veces dan el consentimiento sin revisar antes la política de privacidad y sin saber realmente qué uso se va a hacer de sus datos.