Data Privacy: Definición, conceptos clave y su importancia con las nuevas tendencias en datos

 

Data Privacy o privacidad de datos, también llamada privacidad de la información, es el aspecto de las tecnologías de la información (TI) que trata sobre la capacidad que una organización o individuo tiene para determinar qué datos en un sistema informático se pueden compartir con terceros.

 

data_privacy.jpg

Créditos fotográficos: grandeduc

 

1. Significado de Data Privacy

Data Privacy es el término inglés para privacidad de datos y también es conocido como privacidad de la información o protección de datos. Data Privacy trata de la relación que existe entre la recopilación y difusión de datos, la tecnología, la expectativa pública de privacidad y los asuntos legales y políticos que rodean estos aspectos.

Las preocupaciones de privacidad existen cada vez que información de identificación personal u otra información confidencial se recopila, almacena, usa y finalmente se destruye o elimina, ya sea en forma digital o de otra manera. Un control inadecuado o inexistente de su divulgación suele ser la causa principal de problemas de privacidad.

Los problemas de Data Privacy pueden surgir en respuesta a la información que se genera en una amplia gama de fuentes, tales como:

  • Registros de salud.
  • Investigaciones y procedimientos de justicia penal.
  • Instituciones y transacciones financieras.
  • Rasgos biológicos, como el material genético.
  • Residencia y registros geográficos.
  • Servicios basados en ubicación y geolocalización.
  • Comportamiento de navegación web o preferencias de usuario utilizando cookies persistentes.
  • Investigación académica.

Los principales retos que plantea la protección de los datos son el poder usar la información sin por ello dejar desprotegidas las preferencias de privacidad del individuo y su información de identificación personal; y el adaptarse a los cambios en la ley, en constante evolución, que obligan a mantenerse actualizado en esta materia y reevaluar continuamente el cumplimiento de las normas de privacidad y seguridad de datos.

 

Si estás interesado en conocer una técnica para proteger tu base de datos, te  recomendamos nuestro eBook "La Guía Definitiva sobre el Enmascaramiento de  Datos".

 

La combinación de software, hardware y el talento humano son la única solución conocida para abordar los problemas de Data Privacy que las organizaciones deben superar en la actualidad.

2. Definiciones y principios clave relacionados con Data Privacy

Tipos de información a los que el nuevo Reglamento de Protección de Datos ofrece garantías

La información protegida por el nuevo Reglamento de Protección de Datos es la denominada “datos personales”, entendiendo “datos” como toda aquella información que:

- Se registra como parte de un sistema de archivo o con la intención de que forme parte de uno establecido, aunque no se procese por medio de equipos que funcionan automáticamente en respuesta a las instrucciones dadas para tal fin, siempre que se encuentre organizada y dentro de un conjunto estructurado, ya sea por referencia a individuos o por referencia a criterios relacionados con individuos, de tal manera que la información específica relativa a un individuo en particular sea fácilmente accesible.

- Está siendo procesada por medio de un equipo que funciona automáticamente en respuesta a las instrucciones dadas para tal fin.

- Se registra con la intención de que se procese por medio de dicho equipo.

- Forma parte de un registro accesible o de encuentra en poder de la Autoridad Pública, aunque no reúna ninguna de las condiciones anteriormente expuestas.

 

Requisitos para que los datos puedan considerarse como información personal

Los datos personales son datos que se relacionan con un individuo vivo que puede ser identificado, bien a partir de esos datos, o bien a partir de ellos y combinándolos con otra información.

En este tipo de datos se incluye cualquier expresión de opinión sobre el individuo y cualquier indicación de las intenciones de un tercero para con dicho individuo.

Los datos personales confidenciales son datos sobre un individuo que ofrecen información sobre:

  1. su origen racial o étnico,
  2. sus opiniones políticas,
  3. sus creencias religiosas u otras creencias de naturaleza similar,
  4. su salud o condición física o mental,
  5. su vida sexual,
  6. la comisión o presunta comisión por parte de él de cualquier delito, o
  7. cualquier proceso por cualquier delito cometido o presuntamente cometido por él, la eliminación de tales procedimientos o la sentencia de cualquier tribunal en tales procedimientos.

 

Actividades reguladas por el Reglamento de Protección de Datos

En términos generales, podría decirse que el Reglamento regula el procesamiento de datos personales, o lo que es lo mismo, cualquier acción que permita obtener, registrar o almacenar la información o los datos, así como llevar a cabo cualquier operación sobre la información o los datos, que incluya:

- Divulgación de la información o datos por transmisión, difusión o puesta a disposición.

- Organización, adaptación o alteración de la información o datos.

- Alineación, combinación, bloqueo, borrado o destrucción de la información o datos.

- Recuperación, consulta o uso de la información o datos,

Se trata de una definición particularmente amplia, donde poco queda fuera de los límites de la legalidad. Este articulado corresponde a la necesidad de garantizar una protección efectiva, lo que se consigue reduciendo el abanico de acciones que una persona o una organización puedan ejecutar con esos datos.

 

Derechos y obligaciones que se desprenden de la normativa de Protección de Datos

El sujeto de derecho reconocido por la legislación es la persona sobre la que informan los datos personales, quedando excluida de esta definición cualquier persona que haya muerto, o que no pueda ser identificada o distinguida de los demás.

Las obligaciones que garantizan esos derechos recaen en el controlador de datos, que es como se conoce a cualquier individuo, organización o conjunto de personas que determinen los propósitos y la manera en que los datos personales se procesan o se procesarán. Los controladores de datos deben garantizar que cualquier procesamiento de datos personales de los que sean responsables cumpla con la normativa vigente. De lo contrario, se corre el riesgo de tener que responder ante enjuiciamientos y reclamos de compensación por parte de los individuos afectados.

El procesador de datos, en relación con los datos personales, sería cualquier persona que procese los datos en nombre del controlador de datos, sin mantener con éste una relación laboral.

 

Duración de los derechos y obligaciones en materia de protección de datos

  1. Las obligaciones del controlador de datos se aplican durante el período en que procesa los datos personales.
  2. Es mandatorio cumplir con la normativa de Data Privacy desde el momento en que se obtienen los datos y hasta el momento en que los datos han sido devueltos, eliminados o destruidos.
  3. Las obligaciones no concluyen con la destrucción de los datos, sino que se extienden a la forma en que éstos se eliminarán, que debe realizarse de forma segura y de un modo que no perjudique los intereses de las personas afectadas.
  4. Los cambios en las circunstancias de una organización no reducen los derechos que la legislación otorga a las personas.
  5. Incluso en el caso de que la organización dejase el negocio, Data Privacy sigue vigente y, por tanto, las personas todavía tienen derecho a esperar que sus datos personales fueran procesados de acuerdo con los principios de protección de datos.

 

 ¿Están seguros tus datos? Descárgate este ebook gratuito

 

3. Data Privacy en el ámbito de la Unión Europea

En enero de 2012, la Comisión Europea propuso una reforma integral de las normas de protección de datos en la UE. El 4 de mayo de 2016, los textos oficiales del Reglamento y la Directiva se publicaron en el Diario Oficial de la UE en todos los idiomas oficiales y los Estados miembros de la UE deberán transponerlos a su legislación nacional antes del 6 de mayo de 2018.

En la web de la Agencia Española de Protección de Datos se pueden encontrar diferentes guías que facilitan la labor de responsables y encargados del tratamiento en la adaptación a este nuevo conjunto de medidas, que buscan devolver a los ciudadanos el control de sus datos personales y simplificar el entorno regulatorio para las empresas.

 

El alcance universal de la protección de datos personales

La nueva legislación de la UE ha sentado las bases para un disfrute de los derechos más pleno a los sujetos de datos personales en el ámbito de una sociedad y economía digitales, como las que caracterizan nuestro tiempo.

Data Privacy es una prioridad en los países de la Unión y así lo expresan sus ordenamientos que coinciden en dictar normas como las que establecen que:

  • Los datos personales solo podrán recopilarse legalmente en condiciones estrictas, con un fin legítimo.
  • Quienes recojan, procesen o gestionen información personal de terceros deben protegerla del mal uso.
  • Las organizaciones que utilicen datos personales deben respetar los derechos que la legislación comunitaria atribuye a sus propietarios.

La armonización normativa entre los diferentes países del territorio europea es una necesidad y la única forma de evitar que las reglas de protección de datos contradictorias en diferentes países perturben los intercambios internacionales poniendo en riesgo Data Privacy.

A día de hoy, los datos personales gozan de un alto nivel de protección en toda la UE y, en un futuro próximo, la Directiva de Protección de Datos de la UE también prevé normas específicas para la transferencia de datos personales fuera de la UE que garantizarían la mejor protección posible de los datos exportados al exterior.

 

4. Big Data, inteligencia artificial, machine learning y su relación con Data Privacy

Big Data es una realidad en el sector público, como lo es desde hace aún más tiempo en el privado. Lo mismo sucede con la inteligencia artificial (IA) y el aprendizaje automático. La información llega a las organizaciones desde una variedad cada vez mayor de fuentes y los análisis que se aplican son cada vez más complejos permitiendo a los usuarios beneficiarse del conocimiento a un nivel superior. Sin embargo, a pesar de las ventajas de esta nueva forma de trabajar, cuando se trata de datos personales, existen implicaciones para la privacidad y la protección de datos.

Data Privacy incide en el procesamiento y los procesos analíticos, aunque no hay que entenderlo como una barrera. Existen varias herramientas y enfoques que, no solo ayudan a mejorar el cumplimiento de la normativa de protección de datos, sino que también fomentan la creatividad y la innovación, ayudando a impulsar la calidad de la información. De este modo, los beneficios de Big Data, IA y el aprendizaje automático se pueden seguir experimentando sin que ello menoscabe los derechos de los sujetos de datos personales.

Consulta a un experto en Enmascaramiento de Datos

Las implicaciones de protección que habría que tener en cuenta son las siguientes:

  1. Las organizaciones deben considerar si el uso de datos personales en aplicaciones de big data está dentro de las expectativas razonables de las personas. Especialmente, debe tenerse en cuenta que algunos tipos de análisis de Big Data, pueden tener efectos intrusivos en los derechos de las personas y que la complejidad de métodos como el aprendizaje automático, puede dificultar que las organizaciones sean transparentes con respecto al procesamiento de datos personales.
  2. El análisis de Big Data realizado en el sector público puede ser legitimado, por ejemplo, cuando el procesamiento es necesario para el ejercicio de funciones de un departamento gubernamental. No obstante, las condiciones para procesar datos personales se complican en el sector privado, ya que puede resultar complicado demostrar que los análisis de Big Data son estrictamente necesarios para la ejecución de un contrato. A ello hay que sumar otra dificultad, y es que la obtención de un consentimiento significativo a menudo es difícil en un contexto de Big Data. Hay que buscar el equilibrio entre los intereses del negocio y los de las personas involucradas y, para lograrlo, hoy día existen enfoques novedosos e innovadores que pueden resultar útiles.
  3. La imparcialidad es un factor clave para determinar si el análisis de Big Data es incompatible con el propósito de procesamiento original, que obliga a las organizaciones a llevar a cabo una evaluación que determine si la iniciativa analítica es viable o si no puede seguir adelante, que es lo que podría suceder en los casos en que la recolección de datos personales se considerase excesiva para el propósito del procesamiento.
  4. Las organizaciones necesitarán contar con los procesos adecuados para lidiar con la extensión de los derechos de GDPR, con respecto a las decisiones basadas en el procesamiento automatizado.
  5. De la misma forma, también deberán asumir que la seguridad de Data Privacy es una prioridad. Una protección efectiva de los datos personales comienza por entender los riesgos a los que éstos están expuestos, única forma de implementar las medidas adecuadas.
  6. La responsabilidad de las organizaciones en lo que respecta al tratamiento de datos personales va en aumento en relación con el análisis de Big Data y se convertirá en un requisito explícito en virtud del GDPR. Es por esto que algunas organizaciones pueden necesitar hacer cambios en sus estructuras de informes, registros internos y asignación de recursos, encaminados a aumentar la calidad de los datos y su seguridad.
  7. No es lo mismo procesar el dato que almacenar el dato, no es lo mismo ser procesador que controlador de la información y esto tiene una especial relevancia en un contexto de externalización. Las organizaciones que se unen mediante contratos de outsourcing a otras especializadas en IA y aprendizaje automático deben considerar cuidadosamente quién tiene el control sobre el procesamiento de cualquier dato personal.

 

7 Formas de mejorar el cumplimiento de Data Privacy en un entorno Big Data

Hoy día, existen diferentes software y herramientas a disposición de las organizaciones que les permiten alcanzar sus objetivos de cumplimiento normativo en relación con Data Privacy. Entre ellas cabría destacar las siguientes:

  • Anonimización: a menudo, el análisis de Big Data no requiere el uso de datos que identifiquen individuos. Apostar por los datos anónimos es una forma de mejorar la protección de la información y mitigar el riesgo de pérdida de datos personales. Si se opta por este sistema, es importante asegurarse de que el riesgo de reidentificación queda minimizado.
  • Avisos de privacidad: el usuario de negocio con su endpoint es el punto más vulnerable de la red de seguridad y, por eso, para prevenir ataques, filtraciones o brechas de seguridad, conviene proporcionar avisos de privacidad fácilmente reconocibles que hagan que la información compleja sobre el análisis de Big Data en condiciones de seguridad sea más fácil de entender.
  • Evaluaciones de impacto de la privacidad: este tipo de acciones permiten identificar y mitigar los riesgos de privacidad antes del procesamiento de datos personales y pueden llegar a convertirse, en pocos meses, en un requisito para el análisis de big data que implique el procesamiento de datos personales.
  • Privacidad por diseño: incorporar el aseguramiento de Data Privacy mediante soluciones de diseño en el análisis de big data puede ayudar a proteger la privacidad a través de una serie de medidas técnicas y organizativas.
  • Sellos de privacidad y certificación: un instrumento que ayuda a demostrar el cumplimiento de protección de datos de las operaciones de procesamiento de Big Data.
  • Enfoques éticos: ayudan a generar confianza y pueden contribuir a evaluar problemas de Data Privacy, garantizando su resolución mediante la aplicación de principios éticos.
  • Transparencia algorítmica: mediante visualizaciones, técnicas de auditoría y una combinación de enfoques técnicos y organizativos se puede modelar y mejorar la transparencia del desarrollo de algoritmos de aprendizaje automático.

Las características clave del análisis de Big Data aún representan un cambio radical en el procesamiento de los datos personales, mucho más cuando intervienen técnicas de IA y aprendizaje automático.

No sólo es una cuestión relacionada con el volumen de los datos, sino que también tiene que ver con las formas en que se genera, la propensión a encontrar nuevos usos para la información, la complejidad del procesamiento y la posibilidad de aparición de consecuencias inesperadas para los individuos.

Las organizaciones deben avanzar hacia un modelo donde la tendencia sea el desarrollo de sus propios principios éticos y la creación de relaciones de confianza con las personas, puesto que ello ayudaría a cumplir con los requisitos de protección de datos que recoge la normativa de Data Privacy. Los beneficios de la combinación de Big Data, IA y machine learning son muchos, pero sólo podrán disfrutarse plenamente cuando los derechos de privacidad y la protección de datos estén integrados en los métodos por los cuales se logran.

 

5. Material complementario

Soluciones y recursos para Data Privacy

 

Guías

 

Artículos

enmascaramiento de datos guia gratuita