El mundo del Big Data cobra una vez más importancia con la nueva normativa europea sobre protección de datos personales, ya que puede darse que muchas empresas tengan grandes volumetrías de datos personales (PII). Y es que, en esa instrucción de la Alta Cámara se insta a todas las entidades públicas y privadas de la Unión a adaptar sus prácticas relativas a grandes datos al reglamento GDPR.
Sus criterios, de privacidad, protección de datos, no discriminación, seguridad y aplicación de la ley, son de obligado cumplimiento también en el análisis y descubrimiento de datos personales que caracterizan el mundo Big Data. Las empresas que lo utilicen, por tanto, deberán tener muy en cuenta los consejos de legisladores y expertos.
Como es el caso del ICO, la autoridad independiente británica creada para defender los derechos de información, promoviendo la apertura de los organismos públicos y la privacidad de los datos personales. Esta entidad acaba de publicar un nuevo informe que puede utilizarse como guía práctica para el cumplimiento de GDPR en proyectos de Big Data
El análisis del ICO considera que los tipos de datos personales que se suelen analizar en proyectos de Big Data pueden obligar a crear nuevas categorías, por ejemplo, “datos observados”, “datos derivados” y “datos inferidos”. Al ser información adicional a los datos personales que los propios individuos proporcionan conscientemente, a partir de sensores, cookies o algoritmos de machine learning, deben someterse también a las normas generales de protección de datos, en su opinión autorizada.
Tendrían que estar sujetos a los principios de la GDPR; contar con el consentimiento expreso del titular y ser empleados para los fines legítimos por los que fueron recogidos, incluso aunque su utilidad sea secundaria o se obtengan de otras organizaciones.
La entidad de defensa de los derechos de información inglesa cree que, aunque la nueva reglamentación sea complicada de cumplir, las empresas que realizan Big Data deben definir el objetivo de dicho análisis, desde el principio, y garantizar que los datos personales que utilizan no son excesivos, y sí relevantes, para el cometido por el que se obtuvieron.
Además, les recomienda dotar de anonimato a los datos personales, cuando éstos no sean necesarios para el análisis, ser transparentes con respecto a su uso (por ejemplo, proporcionando avisos de privacidad en las etapas apropiadas a lo largo del proceso de obtención de datos), incorporar un proceso de evaluación del impacto de la privacidad en grandes proyectos de datos (que ayude a identificar los riesgos de privacidad), adoptar un enfoque de privacidad por diseño (en el desarrollo y aplicación del Big Data), desarrollar los principios éticos de la protección de datos e implementar auditorías internas y externas de los algoritmos de machine-learning (para verificar si hay sesgo, discriminación o errores).
Estos son los principales elementos a tener en cuenta, en materia de protección de datos, cuando se abordan proyectos Big Data, según la propia entidad británica, Respetarlos evitará muchos problemas y, en algunos casos, multas millonarias.