red seguridad 074

red seguridad tercer trimestre 2016 47 protección de datos opinión metodologías que ofrecen solucio- nes parciales para distintos domi- nios de negocio y/o contextos, varias técnicas que abordan problemas de privacidad particulares, e inclu- so herramientas de soporte 1 . Por ejemplo, Apple ha anunciado recien- temente la introducción de técnicas novedosas (privacidad diferencial) para conjugar sus necesidades de explotación de datos con el respeto a los derechos de privacidad y pro- tección de datos. # Nombramiento de un Delegado de Protección de Datos , que ase- gure y verifique su cumplimiento. Nombramiento obligatorio con el RGPD cuando la actividad princi- pal del negocio consista en ope- raciones de transformación que requieran de un seguimiento regu- lar o sistemático de los interesa- dos a gran escala. # Notificación del fichero a la Agencia Española de Protección de Datos (AEPD) , cuya finalidad sea la implantación de iniciativas de Big Data o declarar esta fina- lidad en aquellos ya declarados que se encuentren afectados por dichos fines. # Cláusulas de consentimiento informado al interesado, transpa- rentes, expresas, precisas e inequí- Ω Limitación del tratamiento de datos personales al mínimo imprescindible. Ω Licitud del tratamiento en cuanto a que su origen sea legítimo, su tratamiento sea proporcional y no excesivo. Ω Limitación del tratamiento a las finalidades informadas y, en su caso, consentidas. Ω Transparencia, en cuanto a la actitud del personal en la asun- ción del compromiso de actuar conforme a los objetivos de cumplimiento que previamente se hayan establecido. Ω Formación al personal en el con- tenido de la misma. Ω Mecanismos de evaluación de su fiabilidad y efectividad. Ω Auditorías externas y/o internas de su cumplimiento. Ω Evidencia del cumplimiento nor- mativo para demostrar diligencia debida o responsabilidad proac- tiva de la empresa en el cumpli- miento de sus obligaciones. Diseño técnico Desde el punto de vista técnico, habrá que realizar un diseño del servicio o sistema que respete los principios básicos de privacidad. En la actualidad, existen múltiples de los interesados. Se trata de (a) acuerdos de confidencialidad y cláusulas contractuales que garan- ticen la privacidad de la información incluso cuando haya brechas de reidentificación; (b) compromisos de mantenimiento de la anonimi- zación de la información suscritos con los posibles destinatarios de la misma así como de no realizar ninguna acción para re-identificarla (c) o auditorías de uso de la infor- mación anonimizada. # Proyecto piloto: la reali- zación de un proyecto piloto con una pequeña muestra de datos de prueba (no reales) permite extraer, de forma objetiva, conclusiones con respecto a la viabilidad de las técnicas de anonimización pro- puestas y del procedimiento de anonimización. Protección de datos Si, por el contrario, la iniciativa de procesamiento de datos requiere tra- tamiento de datos personales habrá de tenerse en cuenta la aplicación de la normativa de protección de datos. Habida cuenta del contexto en el que nos encontramos, habrán de observarse tanto la normativa nacional actual (LOPD y RLOPD) como la reciente normativa europea (Reglamento General de Protección de Datos –RGPD–), aplicable a partir de mayo de 2018. Será por tanto necesaria la adop- ción de soluciones y/o acciones en observancia de ambos textos legales: # Privacy By design: con carácter previo a cada iniciativa, habrá de documentar una política de pro- tección de datos vinculante y aplicable , que asegure y evidencie la verificación de cumplimento de las exigencias legales y que con- temple, como mínimo, los siguien- tes aspectos: Las iniciativas de Big Data pueden aportar valor a las organizaciones, pero también conllevan importantes retos de cara a preservar la privacidad de los sujetos de los datos.