Protección de Big Data: mejores prácticas en su SGSI
Big Data
Hoy en día, el Big Data es empleado por gran cantidad de organizaciones, tanto públicas como privadas, para analizar, interpretar y predecir comportamientos. Pero estos tratamientos masivos de datos personales, que pueden aportar ventajas en los procesos de toma de decisiones y en la gestión y administración de diferentes recursos, también puede entrañar riesgos para los ciudadanos, motivos por el que se han establecido distintas normas que regular su uso. Durante el artículo de hoy vamos a ver la relación entre Big Data y protección de datos.
El impacto de la normativa de protección de datos en el Big Data
Cuando se aprueban las primeras normativas de protección de datos personales, ni el Big Data ni la tecnología que lo hace posible estaban plenamente desarrollados. Sin embargo, esta situación ha ido cambiado de forma drástica durante el paso de los años y estas leyes que se aprobaron a finales del siglo XX demostraron ser insuficientes ante técnicas y herramientas de análisis que permiten interpretar y cruzar datos, y lo más preocupante, identificar personas a partir de datos que habían sido anonimizados o seudonimizados para su tratamiento.
El reglamento general de protección de datos europeo (RGPD) se creó con el objetivo de devolver a los ciudadanos un mayor control sobre sus datos personales, obligando las empresas a informar a estos del uso y finalidad de los tratamientos de los datos que les ceden, de cuándo se recaban estos datos y para que, así como quiénes tiene acceso a los mismos. Y también a recabar el consentimiento de los interesados para llevar a cabo el tratamiento de sus datos.
El RGPD también insta a las empresas a la minimización del tratamiento de datos personales, algo que parece chocar de lleno contra el Big Data, sin embargo, a día de hoy, se sigue utilizando y valorando los datos que no parece más que seguir aumentado.
¿Quiere esto decir que la normativa de protección de datos no haya generado un impacto en el Big Data y su utilización? No exactamente, especialmente porque se puede ejercer un mayor control sobre cómo utilizar las organizaciones de los datos personales, quizás no tanto a nivel de ciudadano particular, pero sí desde empresas y entidades que vigilan y denuncian malas prácticas relativas a la protección de datos.
La normativa de protección de datos, aunque va por detrás del desarrollo tecnológico, sigue evolucionando y adaptándose a los tiempos, como muestra el desarrollo del reglamento e-Privacy sobre el que trabaja la Comisión Europea y que vendrá a completar diferentes aspectos que el RGPD no regula.
¿Cómo afecta la normativa de protección de datos al Big Data?
Big Data y protección de datos personales son ya dos conceptos que van de la mano, puesto que para garantizar que lo primero no afecta a los derechos y libertades de los ciudadanos, es necesario aplicar los principios y reglas que se recogen en el RGPD como en la LOPDGDD.
Cuando se utiliza el Big Data para el análisis e interpretación de grandes volúmenes de datos, lo cierto es que no estaríamos hablando de datos personales, en tanto en cuanto los datos utilizados en el Big Data se encuentran anonimizados o sudoniminzados, es decir, no hacen referencia a personas y por lo tanto no identifican individuos, aunque se utilicen para crear patrones de comportamiento, tendencias o predicciones.
Sin embargo, el tratamiento de datos a gran escala entraña riesgos, puesto que, como hemos dichos, en el Big Data se pueden cruzar datos y ya ha habido casos en los que se ha podido re-identificar a personas desde datos anonimizados o sudonimizados.
Por esto, es necesario que las organizaciones que hacen uso del Big Data cumplan con las obligaciones de la normativa de protección de datos, de forma especial en lo que a seguridad de los datos se refiere.
La protección de datos personales como derecho fundamental
Lo primero que las empresas que recurren al Big Data deben tener en cuenta es que la protección de datos personales es un derecho fundamental, reconocido tanto en la Carta de Derechos Fundamentales de la Unión Europea y el Tratado de Funcionamiento de la UE como en la Constituciones Española.
Software para la gestión de la seguridad de la información
La Plataforma ISOTools facilita la automatización de los Sistemas de Seguridad de la Información. En el caso de que tenga la ISO 27001 para los Sistemas de Gestión de la Seguridad de la Información, será sencilla de automatizar y mantener con la Plataforma Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.
ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.
Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 22301 de gestión de continuidad de negocio, de una forma sencilla gracias a su estructura modular.