Garantías de privacidad en la contratación de soluciones de Big Data

bigdata

Por Francisco R. González-Calero Manzanares

El denominado Big Data aplicado al sector de las tecnologías de la información y comunicación, puede ser definido como sistemas o herramientas que manejan ingentes cantidades de datos en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis. En la misma línea está la definición dada por McKinsey Global Institute (MGI), que lo entiende como “conjuntos de datos cuyo tamaño va más allá de la capacidad de captura, almacenado, gestión y análisis de las herramientas de base de datos”.

Delimitado el concepto de Big Data, se hace patente que no es necesario ser un experto para darse cuenta de las amenazas y peligros que el Big Data plantea para la privacidad de los individuos. Ya advertimos que no es motivo del presente artículo entrar en el debate abierto sobre la necesidad de primar Big Data frente a la privacidad por sus grandes  beneficios para la humanidad en áreas tales como, la salud o la prevención del terrorismo o, por el contrario, primar la privacidad de las personas frente a estas herramientas invasivas e intrusivas, sino que lo que se pretende a lo largo de las presentes líneas es ilustrar sobre los aspectos a tener en cuenta a la hora de adquirir una de estas herramientas o contratar a una empresa para que utilice esta herramienta por orden y en beneficio de nuestra organización.

Lo primero que tenemos que tener en cuenta es que el fenómeno es tan reciente que todavía no hay normativa, directrices, recomendaciones y documentación específica y sectorial para estos tratamientos, por lo que a día de hoy debemos utilizar la legislación vigente en materia de protección de datos de carácter personal. Con las miras puestas a futuro tendremos útiles herramientas, como las contempladas en la Propuesta de Reglamento General de Protección de Datos de la Unión Europea (privacy by design & privacy by default, obligación de notificar a las autoridades de control e incluso, en determinados supuestos, a los afectados las brechas de seguridad, obligación de elaborar previamente al inicio de determinados tratamientos una declaración de impacto -privacy impact assessment-, principio de accountability o rendición de cuentas…), unas no descartables futura Opinión del Grupo de Trabajo del artículo 29 o Guía de la Agencias Española de Protección de Datos, las que puedan venir del Grupo de Trabajo constituido por la Cloud Security Alliance cuya finalidad es la de identificar técnicas adaptables a problemas de seguridad y privacidad de los datos que orienten a estados y empresas cuando usan estas herramientas, o a las que a nivel técnico de seguridad de la información puedan llegar de los Grupos de Trabajo constituidos por el estadounidense National Institute of Standards and Technology (NIST), los diversos grupos constituidos por el World Wide Web Consortium (W3C) o del estudio del Comité sobre gestión de datos y normas de intercambio (SC32) del JTC1 de ISO/CEI.

Realizado un planteamiento inicial de la situación de partida, una primera utilidad de este tipo de herramientas es que permitan realizar una disociación o anonimización de los datos de tal manera que una vez producida, ya no sea posible por ningún medio o persona (interna o externa al empresario) volver a unir el dato con el titular del mismo. La importancia de esta utilidad es que en el momento que se produce la disociación, ya no se está sujeto a la normativa vigente de protección de datos de carácter personal, aunque por seguridad de la información y porque esos datos tienen un valor económico sí que deberían aplicarse sobre los mismos medidas de seguridad que protejan su integridad y eviten accesos no autorizados.

Lo primero que tenemos que tener en cuenta a la hora de contratar una herramienta de estas características es si se va a producir un acceso a datos y por ello, se deben reflejar en el contrato que nos ofrece el proveedor las estipulaciones del artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y en los artículos 20 a 22 del RD 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Esto puede darse en dos situaciones, o bien cuando la herramienta se ofrece dentro de la modalidad de Cloud Computing, estando ubicada en servidores del proveedor (propios o de terceros), o  bien cuando el proveedor realiza labores de mantenimiento de la herramienta (software o hardware) y durante el mismo, tiene o puede tener acceso a los datos allí almacenados. Es por ello que antes de contratarla, se nos debe facilitar información que posteriormente debe quedar plasmada en el contrato sobre los usos, finalidades y alcance del acceso a datos, la implantación de medidas de seguridad, la devolución o destrucción de los datos cuando finalice el servicio, las subcontratas previstas y, en el caso de no conocerse en ese momento, la manera de solicitar autorización previa al responsable del tratamiento. Téngase en cuenta además que el conocimiento de la ubicación de los servidores donde se alojan estas herramientas (o alguna de sus copias de seguridad) es vital, ya que puede conllevar una transferencia internacional de datos, que en el mejor de los casos requiere notificación previa a la Agencia Española de Protección de Datos.

Otra de la cuestiones que debemos plantearnos es la manera en la que se van a obtener estos datos y de que manera se va a cumplir con los deberes de información y obtención del consentimiento. Desde luego que si lo datos se obtienen directamente del afectado a través de estas herramientas, deberán poseer mecanismos que permitan informar sobre las finalidades del tratamiento, los usos previstos, el responsable o responsables de ese tratamiento y la manera de ejercitar los derechos de acceso, rectificación, cancelación y oposición y sobre la manera de revocar los consentimientos otorgados. En el supuesto que se vayan a tratar datos considerados como de nivel alto o que se vayan a comunicar datos a terceros (sin que se de ninguno de los supuestos habilitantes del artículo 11 de la LOPD o que una Ley la ampare expresamente) o que se prevean comunicaciones comerciales por vía electrónica, deberán ofrecer mecanismos que permitan obtener el consentimiento expreso del afectado. Estas herramientas deben ser igualmente flexibles a la hora de informar y obtener los consentimientos. Puede ser que de las varias finalidades de tratamiento que se prevean, un afectado no acepte una, o de las varias comunicaciones previstas no quiera consentir una, o que acepte todas las finalidades del tratamiento pero no la comunicación de sus datos. Si forzamos un consentimiento en bloque, puede ser que nos quedemos sin él. Es igualmente importante que existan mecanismos para informar y obtener nuevos consentimientos a afectados que ya lo han prestado cuando las finalidades o comunicaciones para las que se obtuvieron vayan a cambiar o se amplíen. En todo caso estas herramientas deben ser capaces de discernir qué usos nos ha autorizado cada afectado y cuales no, de manera que en todo momento se utilicen sus datos conforme al consentimiento prestado. También deben facilitar el control del tratamiento por parte del afectado para determinados usos, por ejemplo que sea necesario pulsar la tecla “aceptar” para que se inicie un sistema de geolocalización destinado a obtener información sobre el uso de los transportes públicos para mejorar su funcionamiento y que este consentimiento pueda ser revocable. Finalmente deberán tener mecanismos y filtros que impidan la recogida y tratamiento de datos de menores de edad debiendo permitir la comprobación de la edad (si no se piensan tratar), y, si se piensan tratar, además deberán contener mecanismos adicionales que posibiliten la obtención del consentimiento del progenitor o tutor legal en el supuesto que el menor sea menor de catorce años y del propio menor si ya es mayor de catorce años.

Tampoco debemos olvidarnos de las utilidades que permiten cumplir con el principio de calidad de los datos, según el cual los datos han de ser los necesarios para la finalidad para la que fueron obtenidos o recabados, deben ser exactos, veraces, puestos al día y responder a la situación real del afectado. También deberán permitir la cancelación de los datos cuando concluya la finalidad para la que fueron obtenidos o recabados, salvo que sean disociados. Es por ello que la herramienta debe poder elegir qué datos y apartados son de inserción y cumplimentación obligatoria y cuales no, y por supuesto deben permitir la disociación definitiva e irreversible de los datos tratados y la cancelación de los mismos.

No es una cuestión baladí el ejercicio de derechos de acceso, rectificación, cancelación y oposición al utilizar este tipo de aplicativos. Que no ofrezcan funcionalidades para el control y ejercicio de los mismos puede ocasionar bastantes problemas tanto legales como organizativos. Pensemos por un momento que uno de los afectados ejercita su derecho de cancelación y no existe una utilidad de bloqueo de datos que permita mantenerlos durante los plazos legalmente previstos, pero eso si, apartados del tratamiento, o que un afectado se opone a una de las finalidades del tratamiento de sus datos pero no se opone al resto. De no poseer la herramienta este tipo de utilidades nos obligaría de facto a paralizar todos los tratamientos que se estén realizando de ese afectado.

En lo que respecta a las medidas de seguridad que debe contener la herramienta, debemos asegurarnos que tiene implantadas las estipuladas para el nivel de seguridad de los datos que se van a tratar (básico, medio o alto) y que coinciden con las descritas en los artículos 79 a 104 del RD 1720/2007. Adquieren especial relevancia en este tipo de tratamientos, aunque por el nivel de seguridad no se esté obligado a implantarlas, la posibilidad de permitirnos la realización de backups o copias de seguridad externas a la aplicación, la posibilidad de configurar perfiles de usuarios que delimiten los recursos a los que se puede acceder y con que privilegios de acceso, la gestión de una política de renovación periódica de contraseñas y que estas sean robustas (incluyendo mayúsculas, minúsculas, números y símbolos especiales), la aplicación de mecanismos de cifrado sobre todo si estas herramientas utilizan la funcionalidad del Cloud Computing o si se realizan continuas importaciones o exportaciones de datos, la de poseer un registro de incidencias en la que se puedan consignar aquellas que afectan a la seguridad o a la integridad de los datos, según lo establecido en los artículos 90 y 100 del RD 1720/2007,  y la de tener activado el registro de accesos al sistema con revisión mensual del mismo (artículo 103 del RD 1720/2007). También son más que recomendables para estos tratamientos masivos de datos la limitación y registro de las importaciones y exportaciones de datos desde o hacia la herramienta al personal debidamente autorizado y la monitorización de esas actividades, ya que en caso contrario seria recomendable la eliminación o capado de sitios Web de correo electrónico o Cloud Computing, de grabadoras de CD-DVD o puertos USB y la instalación de herramientas de monitorización de equipos y correos electrónicos a los usuarios de estas herramientas.

Artículo publicado por el autor en El Derecho.