red seguridad 074

para protección de la información, correspondientes al nivel de seguri- dad de la tipología de datos persona- les que sean objeto del tratamiento. Las técnicas de cifrado buscan garantizar la confidencialidad de los datos personales, al impedir su acce- so por quienes no dispongan de las claves de descifrado. Estas técnicas pueden aplicarse cuando los datos están almacenados (por ejemplo, en un fichero o base de datos) y también mientras están en tránsito (por ejem- plo, mediante uso de protocolos de comunicación seguros). Cabe mencionar que existen otras medidas técnicas que el responsable de la protección de datos debe con- siderar como un adecuado control de acceso a los datos, la trazabilidad de las operaciones realizadas, la imple- mentación de procesos automáticos de monitorización y depuración de los datos, la definición de los perio- dos de retención y la aplicación auto- mática de mecanismos de borrado una vez transcurridos estos, etc. Con base en los riesgos para la pri- vacidad inherentes a las iniciativas de Big Data , y las posibles acciones para su idónea gestión, el Data Privacy Institute publicará próximamente un Código de buenas prácticas de pro- tección de datos para proyectos de Big Data , en el cual se abordan los aspectos que deben tenerse en cuenta ante iniciativas y/o proyectos de esta tipología, con el objetivo de constituir un documento útil y de interés para muchas organizaciones. 1 S. Gürses y J.M. Del Álamo, Privacy Engineering: Shaping an Emerging Field of Research and Practice, IEEE Security and Privacy Magazine 14(2):40-46, March 2016. DOI: 10.1109/MSP.2016.37 2 Agencia Española de Protección de Datos (AEPD), Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD). Octubre de 2014. URL: https://www.agpd.es/portalwebA- GPD/canaldocumentacion/publica- ciones/common/Guias/Guia_EIPD. pdf La posibilidad de revocación del consentimiento requiere de contro- les organizativos y técnicos para hacerlo efectivo. # Regularización de cláusulas o contratos de Encargo del Tratamiento: cuando la iniciativa cuente con la participación de colaboradores externos o pres- tadores de servicios, se deberá regular contractualmente el acce- so a los datos, con referencia a las medidas de seguridad que el colaborador deberá observar. # Realización de Evaluaciones de Impacto para la Protección de Datos (EIDP o PIA, por sus siglas en inglés): Se trata, básica- mente, de un ejercicio de análisis de riesgos para detectar los que puede entrañar el nuevo producto o servicio para las personas cuyos datos trata. Concretamente el RGPD, estable- ce la necesidad de realizar la EIPD siempre que se lleven a cabo ela- boraciones de perfiles, en especial si sobre el resultado del tratamiento se basan decisiones que produzcan efectos jurídicos sobre el individuo, o pueden afectarle de manera sig- nificativa. Una metodología muy adecuada para llevar a cabo la EIPD sería la propuesta por la AEPD en su Guía para la Evaluación de Impacto para la Privacidad 2 , publicada en 2014. En función de los resultados del análisis de riesgos (riesgos respecto de los derechos fundamentales de los interesados), habrá que implantar las medidas técnicas que se consi- deren idóneas para asegurar la pri- vacidad. Además de las técnicas de disociación ya mencionadas, encon- tramos técnicas de cifrado u otras vocas sobre las finalidades pre- vistas, tales como, la elaboración de perfiles y modelos predictivos basados en la información del indi- viduo, sus patrones de conducta, hábitos y preferencias, así como, en un futuro, sobre los criterios lógicos, o algoritmos utilizados para la creación de su perfil y de las consecuencias que la creación de esos perfiles tendrán para los mismos y, a partir de la cual, se obtenga el consentimiento libre, específico, informado e inequívoco, de los afectados. Deberán tenerse en cuenta aque- llos supuestos en que los datos se hayan obtenido de fuentes distintas del interesado, por ejemplo, fuentes de acceso público o de bases de datos comercializadas por terceros. Relación contractual Especial relevancia adquieren los supuestos en que las iniciativas de Big Data sean implantadas para decidir, por ejemplo, sobre el perfec- cionamiento, finalización y/o reno- vación de la relación contractual suscrita, basándose únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad, a partir de valora- ciones automatizadas, donde será necesario informar al cliente/usuario sobre la posibilidad de impugnar dichas valoraciones. # Derechos: disponer de protoco- los de actuación de ejercicios de derechos de acceso, rectificación, cancelación u oposición al tra- tamiento y/o de revocación del consentimiento para la gestión de las solicitudes de ejercicio de tales derechos derivadas de esta tipolo- gía de iniciativas. 48 red seguridad tercer trimestre 2016 protección de datos opinión En función de los resultados del análisis de riesgos, habrá que implantar las medidas técnicas idóneas para asegurar la privacidad