El auge de los proyectos de Big Data ha traído consigo multitud de oportunidades. Todas las organizaciones ven ya el valor que puede aportar a sus negocios el análisis de los datos. Sin embargo, estos proyectos han venido de la mano de nuevas leyes y normas que se deben cumplir para preservar la seguridad de la información y evitar abusos contra los ciudadanos. En Europa, desde 2018, se aplica el Reglamento General de Protección de Datos (RGPD), que hace especial hincapié en la protección y seguridad de los datos de carácter personal.
Se considera que un dato es de carácter personal si pertenece a una persona física viva identificada o identificable. De manera menos directa, la información que pueda llevar a la identificación de una persona determinada también se considera de carácter personal. Al trabajar con este tipo de datos, una empresa debe cumplir con una serie de principios y obligaciones, que pueden consultarse en la Guía del Ciudadano proporcionada por la Agencia Española de Protección de Datos (AEPD).
En este artículo pondremos el foco en el Principio de integridad y seguridad, que se centra en garantizar de forma proactiva que no se acceda a los datos de forma no autorizada o ilícita, así como evitar su pérdida, destrucción o daño accidental. A continuación, describimos cinco consejos para mejorar la integridad y seguridad de los datos personales en tus proyectos Big Data.
Securizar la recepción y el envío de los datos
Una cadena es tan fuerte como su eslabón más débil. De nada sirve tener un sistema seguro de almacenamiento de datos si a la hora de recibirlos o enviarlos no se siguen medidas que eviten que terceros puedan interceptarlos. Así pues, es importante que las transferencias de datos se realicen de forma segura.
Una buena forma de reforzar la seguridad en las transferencias consiste en encriptar los datos. De esta forma, aunque sean interceptados, no se podrá llevar a cabo ninguna acción ilícita sobre ellos. Sin embargo, es importante que la clave de desencriptado también se comparta con seguridad. La mejor manera de comunicar dicha clave sería en persona o mediante una llamada telefónica. Si esto no es posible, intenta que el medio por el que se transmita no indique para qué es la clave (por ejemplo, un email sin asunto que sólo contenga la contraseña). Y siempre que sea posible, ambas partes deben eliminar el mensaje una vez leído. Recuerda también almacenar las contraseñas en un gestor de contraseñas seguro.
Además de encriptar los datos, es importante la forma en la que estos se transmiten. Una opción segura es montar un servidor SFTP al que sólo tengan acceso el responsable de enviar los datos y el responsable de recibirlos. Una vez se realice la transferencia y se confirme que los datos se han almacenado en un dispositivo seguro, borra los datos del SFTP.
Registrar la actividad realizada sobre los datos
Es recomendable llevar un registro de las actividades de tratamiento de los datos por cada tipo de proyecto que se lleve a cabo en la empresa. En caso de que un proyecto tenga unas necesidades muy específicas, es preferible generar un registro a medida de la actividad realizada sobre los datos.
Este tipo de registros de la actividad realizada sobre los datos debe responder al menos a las siguientes preguntas:
- ¿Qué tipo de datos recoge el proyecto?
- ¿Con qué fin se tratan?
- ¿Quién los comunica?
- ¿Es necesario transferir los datos a terceros? ¿Dentro de Europa?
- ¿Qué medidas técnicas y organizativas se van a llevar a cabo para preservar su seguridad?
- ¿Cuándo se podrán suprimir los datos?
También es importante realizar una evaluación de los riesgos a los que se someterán los datos. Los riesgos variarán según:
- La naturaleza de los datos
- el alcance de los datos y
- el propio contexto del proyecto.
Una vez implementado el registro de actividades y la evaluación de riesgos de los datos, es necesario determinar cuáles serán las medidas técnicas y organizativas que se tomarán para garantizar la seguridad e integridad de los datos.
Anonimizar los datos personales
La manera más segura de trabajar con datos de carácter personal es anonimizarlos, aunque según la finalidad del proyecto esto no siempre es posible. Un dato anonimizado no se considera de carácter personal y por tanto reduce los riesgos y suaviza las medidas de seguridad necesarias en el proyecto (que no sean de carácter personal no quiere decir que no se deban tomar medidas de seguridad).
Para que los datos se consideren verdaderamente anónimos, el proceso debe ser irreversible. Si es posible revertir un dato anonimizado a su estado original se considera que sigue siendo de carácter personal.
Securizar el acceso a los datos
Limitando el acceso a los datos aumentamos también las medidas de seguridad. La mejor manera de llevar esto a cabo consiste en utilizar siempre usuarios personales, esto es, que cada persona tendrá asignadas unas credenciales específicas. De esta manera, tan solo las personas cuyas credenciales estén aprobadas podrán acceder a los datos.
Para aumentar la seguridad de este método se recomienda además implementar sistemas que dejen registrados los movimientos de los usuarios personales (logs). Estos logs deberán revisarse en busca de anomalías y es aconsejable guardarlos durante un tiempo prudencial.
Limpieza de datos al finalizar el proyecto
Al finalizar un proyecto, la empresa siempre deberá devolver o destruir los datos de carácter personal que le fueron transferidos. En ciertas ocasiones, y siempre según lo acordado con el cliente, la empresa podrá mantener datos anonimizados durante un tiempo acordado.
Es importante tener en todo momento registrado la localización de los datos y el listado de las personas que tengan acceso a los mismos. A la hora de realizar el borrado de la información, se debe asegurar que no quede ninguna copia de los datos en la empresa.
Estos son sólo algunos consejos orientados a cumplir con el Principio de integridad y seguridad. Lo más importante es recordar que las normativas europeas esperan proactividad por parte de las empresas, por lo que dedicar esfuerzo y recursos a la seguridad de los datos y al resto de obligaciones y principios es fundamental para el éxito de los proyectos de Big Data.
Infografía de 5 consejos para tratar datos personales con seguridad
- Securizar la transferencia de datos. Encriptar los datos y transmitirlos a través de un servidor SFTP.
- Registrar la actividad de tratamiento de los datos. Apuntar con qué fin se tratan o si hay que transferirlos a terceros.
- Anonimizar los datos personales. El proceso debe ser irreversible para que sean verdaderamente anónimos.
- Securizar y limitar el acceso a los datos. Utilizar usuarios con credenciales personales y registrar los movimientos.
- Eliminar los datos al finalizar un proyecto. Se podrán guardar sólo durante el tiempo acordado con el cliente.