Connect with us

Opinión

El tratamiento de los datos personales en el fenómeno del Big Data

Publicado el

Rafael Velázquez

Rafael Velázquez, abogado en Estudio Legal Velázquez y Certified Data Privacy Professional (CDPP).

El tratamiento de grandes volúmenes de información y datos heterogéneos, concernientes a personas físicas, obtenidos de fuentes estructuradas o no, (bases de datos, textos, webs, etc.) es una de las actividades de la sociedad de la información. El entorno Big Data permite el análisis, la predicción, la evaluación etc generando conocimiento. Estos procesos facilitan la prevención de enfermedades, la evaluación de riesgos, la generación de perfiles de consumo, la detección del fraude, etc.

En la operativa Big Data, las fuentes que comprenden datos e informaciones de carácter personal se crean en entornos cerrados o propietarios, así como en abiertos o “no propietarios”. En este caso, los datos pueden obtenerse de fuentes generadas por otros, conforme a ello el acceso a unas fuentes es restringido, mientras que para otras es libre.

Quienes ejecuten el tratamiento de información y datos personales, en el entorno Big Data, deben tener en cuenta sus “fronteras” legales. Es decir, la normativa de protección de datos personales cuyo objeto es: “garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. También forman parte de estas “fronteras” la normativa conexa con la anterior que contempla otros ámbitos de protección, la tutela de la propiedad intelectual o la reutilización por el sector privado de contenidos elaborados por las Administraciones Publicas, entre otras.

Riesgos para quienes realicen el tratamiento

  • Las empresas que procesen datos personales, en este entorno, deben tener presente:
  • Si el tratamiento de los datos requiere el consentimiento previo del interesado.
  • El cumplimiento de la obligación de confidencialidad contemplada en los contratos.
  • La observación del deber de secreto respecto de los datos personales.
  • El ejercicio del derecho de oposición en el supuesto de tratamientos realizados con fines de prospección comercial o marketing.
  • La calidad de la información y los datos que se procesan.
  • La conformidad legal de los tratamientos de datos personales que realizaron otros, pero que un tercero utiliza.
  • El cumplimiento del contenido de la obligación de seguridad.
  • Los requisitos legales que afectan a decisiones basadas exclusivamente en un proceso automatizado de datos personales.
  • La tipificación de los delitos de descubrimiento y revelación de secretos.

El grado de sensibilidad de las empresas, Responsables y/o Encargados del Tratamiento, respecto de las cuestiones anteriores, permitirá reducir sustancialmente los riesgos derivados del incumplimiento de la normativa, evitando múltiples dolores de cabeza a los responsables de los departamentos (marketing, recursos humanos, ventas, sistemas, desarrollo, legal, comercio electrónico etc.). En caso contrario, los anteriores, pueden encontrarse ante situaciones delicadas para su empresa, como es: la degradación de la reputación corporativa, reducción del valor de la marca, disminución de la clientela, campañas en redes sociales, etc.

Seguridad datos

Seguridad, confidencialidad y secreto

En el entorno Big Data, los responsables y encargados del tratamiento deben observar la obligación de seguridad y, conforme a ella, tienen que implementar las medidas técnicas, organizativas para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal. Con este fin, deben elaborar e implantar el documento de seguridad que afecta a los tratamientos realizados en el entorno Big Data que deben alinearse con este.

La confidencialidad de la información y los datos y el deber de secreto, concebidos como obligación contractual o legal, también inciden en el proceso de datos efectuado en el entorno Big Data. El deber de secreto respecto de los datos personales plantea un límite en su utilización a la vez que supone una obligación para cualquier persona que intervenga en el tratamiento. Nuestro código penal tipifica como delito el incumplimiento. Por otro lado, la conculcación de la obligación de confidencialidad supone un incumplimiento del contrato; sin embargo, la empresa que trate datos concernientes a personas físicas podrá procesar datos de tipo estadístico.

Decisiones automatizadas

Las empresas que operan en el entorno Big Data también deben tener presente los requerimientos legales que condicionan los tratamientos que tienen como objeto la evaluación de aspectos de la personalidad del interesado. Entre ellos, los destinados a valorar el riesgo en una póliza de seguro de enfermedad, el análisis de solvencia para otorgar un crédito etc. Cuando estos tratamientos constituyan la base de la toma de decisiones que afectan al interesado, este está habilitado para solicitar al responsable del tratamiento información sobre la aplicación informática empleada en el tratamiento de datos personales, que permitió adoptar la decisión, así como respecto de los criterios de valoración empleados. El interesado, también puede impugnar las decisiones con efectos jurídicos, cuyo único fundamento sea un tratamiento automatizado que permita evaluar aspectos de la personalidad.

Decisiones automatizadas

Proyecto de reglamento UE

Quienes traten datos concernientes a personas físicas, en el entorno Big Data, también deben estar atentos a la propuesta de Reglamento General de Protección de Datos, presentada por la Comisión en enero de 2012. Tras su aprobación, se aplicará de manera directa en los países de la UE, previéndose que entre en vigor durante 2014.

Las empresas responsables y encargados del tratamiento deben tener presentes cuestiones como la implementación de la protección de datos en el momento del desarrollo de productos y servicios; La privacidad por defecto; El informe de evaluación de riesgo previo a determinados tratamientos de datos entre los que están los destinados a analizar o predecir el estado de salud, la fiabilidad o comportamientos, de las personas físicas etc, también la notificación de las violaciones de datos a la autoridad de control, en un plazo máximo de 24 horas, desde que el Responsable del Tratamiento tengan constancia y el derecho al olvido y a la portabilidad de datos.

Cumplimiento normativo y marco equilibrado

El Buen Gobierno Corporativo, de las empresas, demanda el cumplimiento de la normativa, en este caso, la relativa al tratamiento de datos personales (Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la anterior etc.) así como la normativa que contempla otros ámbitos de protección, conexa con la anterior (Ley Orgánica, 1/1982, de 05 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen). Quienes realicen tratamientos en el entorno Big Data, observarán la normativa aplicable mediante la política de seguridad de la información, los procedimientos, los controles y especialmente, a través de la política de privacidad publicada en la web corporativa. Esta debe inspirarse en los principios de transparencia y equilibrio entre los procesos Big Data y los derechos y libertades.

Periodista especializada en tecnologías corporate, encargada de las entrevistas en profundidad y los reportajes de investigación en MuyComputerPRO. En el ámbito del marketing digital, gestiono y ejecuto las campañas de leads generation y gestión de eventos.

Advertisement
Advertisement

Lo más leído