Código de Buenas Prácticas en Protección de Datos

28/09/2017
 
 

Código de Buenas Prácticas en Protección de Datos

 
Para proyectos de Big Data, publicado por la AEPD en referencia con el nuevo Reglamento Europeo de Protección de Datos (RGPD).
La Agencia Española de Protección de Datos (AEPD) y a la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, en colaboración con empresas y profesionales independientes, han trabajado en la publicación del Código de Buenas Prácticas en Protección de Datos para proyectos de Big Data, para orientar a todas aquellas empresas o entidades que se estén planteando poner en marcha proyectos de Big Data.
 
El término “Big Data” alude al enorme crecimiento en el acceso y uso de información automatizada, y se refiere a las grandes cantidades de información digital controlada por compañías, autoridades y otras organizaciones, y que están sujetas a un análisis extenso basado en el uso de algoritmos. En concreto, el texto del Código define este término como ”el conjunto de tecnologías, algoritmos y sistemas empleados para recolectar datos a una escala y variedad no alcanzada hasta ahora y a la extracción de información de valor mediante sistemas analíticos avanzados soportados por computación en paralelo”.
 
En este contexto, el Código de Buenas Prácticas en Protección de Datos nace con el objetivo de regular este tipo de información automatizada y tecnología implicada, tomando como referente el nuevo Reglamento del Parlamento Europeo de protección de datos, que entrará en vigor a partir del 25 de mayo de 2018. El Código está dividido en cuatro bloques: i) el primero que incluye, junto con otros aspectos legales, la definición de Big Data, sus usos y tecnologías, así como los riesgos, amenazas y oportunidades que genera para empresas y ciudadanos; ii) el segundo bloque, que incluye el régimen aplicable y principales obligaciones legales en materia de privacidad (derechos de los interesados, principio de calidad, responsable y encargado del tratamiento, etc.); iii) el tercer bloque, que incluye los aspectos procedimentales (principios como la privacidad desde el diseño, evaluación del impacto o el cumplimiento de las obligaciones de protección de datos) y iv) el cuarto bloque, donde se detallan las medidas tecnológicas para la mejora de la privacidad, seguridad y confianza.
 
En el marco jurídico aplicable, debe tenerse en cuenta que la Ley de Protección de Datos y su Reglamento de desarrollo serán plenamente aplicables a partir del 25 de mayo de 2018, por lo que son igualmente aplicables a cualquier entidad que pretenda desarrollar proyectos con este tipo de tecnología, si bien, como se aclara en el Código, la normativa de protección de datos no regula de forma específica este tipo de tratamiento. Por tanto, podrá suceder que algunos aspectos de la normativa actual no sean aplicables directamente a este tipo de proyectos, por ejemplo, en los casos en los que no sea posible la identificación de los individuos, o si los datos están completamente anonimizados. En estos casos, el Código plantea que la normativa de protección de datos no será aplicable, y el factor diferenciador para su aplicación será la posibilidad de identificar a los individuos.
 
En este sentido, una de las funciones básicas del Código es establecer mecanismos de garantía en la protección de los derechos de los ciudadanos y de evaluación de impacto, lo cual se plasma en la regulación de aspectos importantes como el “profiling” que es sin duda uno de los principales usos del Big Data, en la medida que puede entrañar riesgos por posibles tratamientos basados en predicciones si se utilizan de forma discriminatoria, lo que se viene denominando “la dictadura de los datos”.
 
Otro concepto que se aborda de forma extensa es el principio de “accountability”, que implica la procedencia de dar cumplimiento al régimen jurídico y las obligaciones derivadas de la protección de datos, con independencia de que exista una norma de carácter imperativo que lo exija. Se trata de un principio de reconocimiento, asunción de responsabilidad y actitud transparente sobre los impactos de políticas y decisiones de una organización, mediante el establecimiento de procedimientos internos de revisión, políticas internas o nombramiento de personas responsables. Asimismo, también se establecen mecanismos de consultas previas y una serie de recomendaciones en las relaciones con las autoridades de control, que son los principales garantes del derecho fundamental a la protección de datos de carácter personal.
 
Finalmente, el Código establece distintas estrategias de privacidad para hacer frente a los fundamentales riesgos que surgen este sentido en cada una de las etapas de la cadena de un proyecto de Big Data. Dichas estrategias se basan de forma genérica en principios como minimizar la cantidad de datos, ocultar datos a otros usuarios, informar a los interesados, controlar el ejercicio de los nuevos derechos ARCO (o mejor dicho ARSLPOA), ser capaz de demostrar el cumplimiento de políticas de privacidad, etc.
 
En definitiva, el texto del Código se constituye en una guía de buenas prácticas, una serie de recomendaciones, sin articulado concreto, que deberán tenerse en cuenta por las organizaciones que pretendan llevar a cabo este tipo proyectos de Big Data, a fin de observar y garantizar la efectiva protección de los derechos  a la privacidad de datos de los ciudadanos y conciliar estos derechos con las oportunidades de negocio y gestión que este tipo de proyectos pueden suponer para las empresas y organizaciones.