Código de buenas prácticas en big data

La Agencia Española de Protección de Datos (AEPD) e ISMS Forum Spain, han editado conjuntamente un código de buenas prácticas en colaboración con empresas y profesionales independientes, orientado a asesorar en materia de protección de datos a todas aquellas entidades que se estén planteando poner en marcha proyectos de Big Data. El documento toma como referencia el nuevo Reglamento Europeo de Protección de Datos, que será aplicable el 25 de mayo de 2018.

Según la AEPD, las iniciativas basadas en Big Data pueden aportar beneficios sociales en sectores clave y nuevas posibilidades de negocio a las organizaciones a partir del análisis de grandes cantidades de datos a los que se aplican algoritmos con el fin de establecer correlaciones o elaborar patrones. Sin embargo, también surgen dudas y preocupaciones sobre usos que pueden no ser lícitos por realizarse sin respaldo legal o por generar abusos, como la modificación de precios de un producto en función de lo que esté dispuesto a pagar un usuario al que previamente se ha analizado. 

En este sentido, la generación de perfiles de consumidores o profiling es sin duda uno de los usos principales del Big Data, y puede entrañar riesgos por posibles tratamientos basados en predicciones si se utilizan de forma discriminatoria excluyendo a sectores minoritarios apoyándose en los datos analizados. Teniendo en cuenta estos aspectos, el desarrollo y la puesta en marcha de proyectos de Big Data implica una importante responsabilidad para aquellas entidades que los implementan, que deben preservar la privacidad de las personas adoptando acciones y soluciones de tipo jurídico, organizativo y técnico.

Para la AEPD e ISMS Forum Spain, el Código de buenas prácticas en protección de datos para proyectos de Big Data constituye un punto de partida de referencia práctica para las empresas, con un primer bloque que incluye el régimen jurídico aplicable y cuestiones clave como la definición del responsable del tratamiento de los datos y el encargado. También se analizan las principales implicaciones derivadas de los tratamientos basados estas técnicas, como el origen, calidad y conservación de los datos; la procedencia de los mismos; la trasparencia que se debe ofrecer en la información previa facilitada a los afectados; la obtención del consentimiento de estos o, en su caso, el interés legítimo para tratar esos datos; los usos no previstos en el momento inicial, y el ejercicio de derechos por parte de los ciudadanos cuya información se está tratando.

El segundo bloque examina los aspectos que deben tener en cuenta las entidades que van a utilizar Big Data para garantizar la protección de datos y la privacidad de los ciudadanos, destacando principios como la privacidad desde el diseño o la responsabilidad de las entidades a la hora de establecer mecanismos de garantía y cumplimiento de las obligaciones de protección de datos (accountability). Igualmente, el documento detalla, entre otros aspectos, la necesidad de realizar evaluaciones de impacto en proyectos de este tipo para minimizar los riesgos o la posibilidad de optar por la anonimización irreversible de los datos. El Código finaliza con una revisión de las medidas tecnológicas imprescindibles en materia de privacidad y seguridad para crear un entorno adecuado de confianza para el desarrollo de tecnologías Big Data (Fuente de la información y de la imagen: nota de prensa de la AEPD).

Itinerario interactivo en materia de ciberseguridad

El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Energía, Turismo y Agenda Digital, a través de la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, pone a disposición de las empresas del sector educativo un itinerario interactivo de seguridad en el que, de forma amena y divertida, se abordan todos estos aspectos. Para INCIBE, centros educativos, guarderías, academias y centros de formación presencial o a distancia relacionados con enseñanzas culturales, deportivas o de idiomas, manejan y almacenan datos confidenciales de alumnos, la mayoría de ellos menores de edad. Dicha información puede ser muy atractiva para los ciberdelincuentes, de ahí la importancia de que empresas y centros educativos conozcan cuáles son los riesgos a los que se enfrentan y qué pautas básicas de conducta deben seguir para evitarlos. 
Mediante diferentes vídeotutoriales, a los que puede accederse a través de https://itinerarios.incibe.es, se analizan cuestiones generales de ciberseguridad pero también los riesgos específicos del sector educativo, como pueden ser el robo de los datos personales de estudiantes, docentes o trabajadores; robo de información financiera; manipulación de información académica o contenidos educativos; o destrucción o secuestro de información y bases de datos. Todo ello sin olvidar los riesgos asociados al uso de la web o de las redes sociales por parte de los alumnos, como puede ser el ciberbullying, es decir, el acoso psicológico entre iguales mediante el uso de los medios telemáticos.
Según datos del Instituto Nacional de Estadística (INE) del año 2016, en España existen 98.771 empresas del sector educativo, un sector que se caracteriza por la alta implantación de las nuevas tecnologías, tanto para su labor educativa como para la comunicación entre centros, alumnos, profesores y demás empleados. Son empresas que tratan con datos personales y que hacen un uso intensivo de equipos informáticos y redes cableadas e inalámbricas a las que se conectan dispositivos tan variados como las pizarras digitales, tabletas, miniportátiles, aplicaciones de gestión educativa o plataformas de aprendizaje, entre otras. Desde INCIBE se recuerda que el mal uso o el uso inseguro de las tecnologías generan riesgos para los centros, para sus procesos e infraestructuras e incluso para la convivencia escolar e insisten en que “es básico que las empresas del sector educativo extremen las medidas de seguridad en todos los ámbitos y adopten las medidas organizativas, técnicas y legales necesarias para garantizar la confidencialidad de la información que manejan”.

Algunas de las buenas prácticas recomendadas son realizar copias de seguridad periódicas de la información, almacenándolas en un lugar diferente a la información original; desechar y reutilizar de forma segura los soportes de información; utilizar redes seguras y confiables a la hora de transmitir información sensible; y realizar acciones periódicas de formación y concienciación en materia de ciberseguridad para todos los empleados. El itinerario interactivo para el sector de la educación es uno de los diez itinerarios diseñados por INCIBE para ayudar a las empresas a ser más seguras. El resto están dirigidos al sector de la industria; la salud; la construcción; el comercio mayorista; el comercio minorista; hoteles, campings y agencias de viaje; transporte y almacenamiento; asociaciones profesionales; y actividades profesionales, científicas y técnicas. En cada apartado, se incluyen otros vídeos, infografías y enlaces para ampliar información (Fuente de la imagen y de la información: nota de prensa del Instituto).