2016-11-21#BigPrivacy
-
Upload
pedro-alberto-gonzalez -
Category
Data & Analytics
-
view
169 -
download
0
Transcript of 2016-11-21#BigPrivacy
Principios de la Protección de Datos 2
Guión de la sesión1. “Big Data” visto desde la privacidad2. “Framework” de la privacidad3. “Big Privacy”: Tensión y equilibrio4. Recomedaciones y Conclusiones
http://www.avpd.eus
Principios de la Protección de Datos 3
Gartner 20132016: “Curva de expectativas”
http://www.avpd.eus
20162014
2013
Principios de la Protección de Datos 4
Lugares comunes sobre “Big Data”
• “La información es la gasolina del siglo XXI, la analítica, el motor”
• “El Big Data es el oro del siglo XXI”• “Los Datos están ahí fuera,
esperando a que obtengamos rendimiento de ellos”
http://www.avpd.eus
Principios de la Protección de Datos 6
Tendencia del Interés“Big Data” vs “Privacy”
http://www.avpd.eus
http://www.avpd.eus Principios de la Protección de Datos 8
La Protección de Datos:un Derecho Fundamental
• Art. 18.4 de la Constitución (1978):– “La Ley limitará el uso de la informática para garantizar
el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio en su derecho”
• Art. 1 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal:– “La presente Ley Orgánica tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”
http://www.avpd.eus Principios de la Protección de Datos 9
… y un Derecho Fundamental Europeo
• Carta de los Derechos Fundamentales de la Unión Europea (2000)– Artículo 1: Dignidad humana– Artículo 2: Derecho a la vida– Artículo 3: Derecho a la integridad de la persona– Artículo 4: Prohibición de la tortura y de las penas o los tratos
inhumanos o degradantes– Artículo 5: Prohibición de la esclavitud y del trabajo forzado– Artículo 6: Derecho a la libertad y a la seguridad– Artículo 7: Respeto de la vida privada y familiar
–Artículo 8: Protección de datos de carácter personal
Principios de la Protección de Datos 10
Falacias sobre la Privacidad:“no tengo nada que ocultar…”
• Consecuencia de:– La sociedad post-”11-S”– La confrontación
Libertad vs Seguridad• Y de la preferencia
del “hombre de la calle” por la seguridad frente a sus contrapartidas
http://www.avpd.eus
Principios de la Protección de Datos 11
La privacidad en tiempos revueltos
http://www.avpd.eus
"Decir que uno no se preocupa por el derecho a la privacidad,
ya que no tienen nada que ocultar,
no es diferente a decir que no importa la libertad de
expresión porque uno no tiene nada que decir"
Principios de la Protección de Datos 12
Pero también interviene la “Sociedad de Servicios en Red”
• su financiación en base a la publicidad– “Que mas me da, si
obtengo algo gratis…”– La preferencia de “el
hombre de la calle” de “servicios gratis” frente a sus contrapartidas
http://www.avpd.eus
“Cuando tu no pagas por un producto, TU eres el producto
Principios de la Protección de Datos 14
Posición del ‘#art29WP’ sobre ‘Big Data’ (sep. 2014) • “Some stakeholders assert that the application of some
data protection principles and obligations under EU law should be substantially reviewed to enable promising forthcoming developments in big data operations to take place”
• “However, at this stage, it has no reason to believe that the EU data protection principles (…) are no longer valid and appropriate for the development of big data (…)
• “It also needs to be clear that the rules and principles are applicable to all processing operations, starting with collection in order to ensure a high level of data protection.”
http://www.avpd.eus
http://www.avpd.eus Principios de la Protección de Datos 16
Principios de la Protección de Datos (en la LOPD)
• Información en la recogida• Consentimiento del afectado
• Calidad / Minimización de los datos• Protección especial de algunos datos
• Limitación de las cesiones de datos
• Deber de secreto• Seguridad de los datos
Derechos de las personas en la LOPD
• Derechos “A.R.C.O.”–Acceso–Rectificación–Cancelación–Oposición
http://www.avpd.eus Principios de la Protección de Datos 17
Principios de la Protección de Datos 18
“principios relativos al tratamiento” (art. 5 #RGPD)• Licitud, lealtad y transparencia• Limitación de la finalidad• Minimización de datos• Exactitud y vigencia• Limitación del plazo de conservación• Integridad y confidencialidad• Responsabilidad proactiva
http://www.avpd.eus
Principios de la Protección de Datos 19
BIG DATA Y PRIVACIDAD:TENSIÓN Y EQUILIBRIO
http://www.avpd.eus
Principios de la Protección de Datos 20
Opinión de las Autoridades en Protección de Datos
• “Grupo de Berlín” (mayo, 2014)– Doc. de trabajo sobre Big Data y Privacidad
• “Grupo del artículo 29” (sept, 2014)– Declaración sobre el impacto del ‘Big Data’
• Conferencia Internacional de Autoridades de PD (oct, 2014)– Resolución sobre Big Data
http://www.avpd.eus
Principios de la Protección de Datos 21
Cautelas / Motivos de preocupación
A. Posible colisión con (algunos de) los Principios de la Privacidad1. Dudas sobre la habilitación para el
tratamiento y/o cesión de datos2. Desviación de la Finalidad3. Tratamiento excesivo de datos4. Falta de Transparencia5. Difícil gestión del consentimiento
B. Posibilidades de re-identificación
http://www.avpd.eus
http://www.avpd.eus Principios de la Protección de Datos 22
Colisión 1: Habilitación para el tratamiento de datos
Tratamiento de datos
por
Consentimiento
por
HabilitaciónLegal
Principios de la Protección de Datos 24
La “propiedad transitiva” de las Cesiones
http://www.avpd.eus
Principios de la Protección de Datos 25
La Licitud del tratamiento en el #RGPD (art. 6)
A. Consentimiento (para uno o varios fines específicos)
B. Ejecución de un contratoC. Cumplimiento de una obligación legal D. Protección de intereses vitalesE. Interés público o ejercicio de poderes públicos F. Intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero
http://www.avpd.eus
Colisión 2:Desviación de la finalidad
Lo que dice la actual LOPD (art. 4):• (…) • “Los datos de carácter personal objeto de
tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.
• Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
http://www.avpd.eus Principios de la Protección de Datos 26
Principios de la Protección de Datos 27
La finalidad y sus limitaciones en el #RGPD
Lo que dice el actual #RGPD (art. 5):• “Los datos personales serán recogidos con fines
– determinados, explícitos y legítimos, • y no serán tratados ulteriormente de manera incompatible
con dichos fines; «limitación de la finalidad»
• el tratamiento ulterior de los datos personales con fines de:• archivo en interés público, • fines de investigación científica e histórica o • fines estadísticos
• no se considerará incompatible con los fines iniciales
http://www.avpd.eus
Principios de la Protección de Datos 28
Colisión 3: Tratamiento excesivo de datos
• Maximización vs minimización de datos• Lo que dice el #RGDP:
– “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”
http://www.avpd.eus
Principios de la Protección de Datos 29
Colisión 4: Falta de Transparencia
• Equivalente a los principios LOPD:– Información previa a la recogida de datos– Derechos A/R/C/O
• Acceso• Rectificación• Cancelación • Oposición
• El #RGPD es más exigente en estos principios que la LOPD
http://www.avpd.eus
El Derecho de información en la LOPD
• En qué consiste– Los ciudadanos y ciudadanas, tenemos derecho, cuando se nos
solicita cualquier tipo de dato personal, a que se nos informe adecuadamente acerca del uso que se hará del nuestros datos.
• Nos deben informar de:– la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la información.
– si es obligatoria o facultativa la respuesta a las preguntas que nos sean planteadas.
– las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
– la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
– la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....
http://www.avpd.eus Principios de la Protección de Datos 30
Principios de la Protección de Datos 31
Excepciones al derecho de información
• Cuando una ley lo prevea expresamente ,
• Cuando el tratamiento tenga fines históricos, estadísticos o científicos,
• Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados (a criterio de la Autoridad de Control correspondiente)
http://www.avpd.eus
Principios de la Protección de Datos 32
Colisión 5:Gestión del Consentimiento
(… cuando fuese necesario…)• “Big data” es, en esencia, reutilización
– En base a datos previamente existentes– En mucho casos, no hubo consentimiento– ¿Consentimiento retrospectivo?
• Puede darse un “abuso” del consentimiento de “mala calidad”– Condicionado (no libre)– Difuso, (no inequívoco)– Genérico, (no específico)– Engañoso (no informado)
http://www.avpd.eus
Consentimiento del afectado
• El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado
• El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
http://www.avpd.eus Principios de la Protección de Datos 33
http://www.avpd.eus Principios de la Protección de Datos 34
¿ es válido el Consentimiento tácito?
¡NO!.El #RGPD habla del consentimiento como “manifestación de voluntad,
– libre , inequívoca, – específica e informada”
por la que el interesado acepta, – ya sea mediante una declaración – o una clara acción afirmativa,
el tratamiento de datos personales que le conciernen
http://www.avpd.eus Principios de la Protección de Datos 35
Excepciones al consentimiento en la LOPD
• Cuando una LEY disponga otra cosa.• Cuando los datos se recojan para el
ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias
Principios de la Protección de Datos 37
Árbol de decisión para tratamientos en Big Data
Datos
Personales
Identificados
Habilitación Legal
Consentimiento
Sin Tratamiento
Disociados
Pseudónimos (dis. Reversible)
Anónimos (dis. Irreversible)
No personales
http://www.avpd.eus
Principios de la Protección de Datos 38
Ciclo de Vida del ‘Big Data’
Recopilación
Tratamiento y
agregaciónAnálisis y
CorrelaciónDifusión y/o Uso
http://www.avpd.eus
Principios de la Protección de Datos 39
La disociación, una herramienta muy útil
• Aplicable en distintas fases del tratamiento ‘Big Data’– Cuanto antes, mejor
• Especialmente, cuando intervienen diferentes responsables
• Recomendada en el nuevo #RGPD– Documento #art29WP sobre disociación– Documento AEPD sobre anonimización
http://www.avpd.eus
Principios de la Protección de Datos 40
Riesgo de Re-Identificación• Cuando la agregación comprende colectivos
muy pequeños• ‘Tuplas’ de variables que singularizan
individuos– Código postal + Fecha nacimiento + sexo
• Cruce con otras bases de datos– Caso NetFlix + IMDB
• Inferencias y deducciones– Caso AOL
http://www.avpd.eus
Principios de la Protección de Datos 42
Dictámenes del #art29WP relevantes para ‘Big Data’
• 3/2013, sobre limitación de finalidades• 6/2013, sobre ‘open data’ y reutilización• 5/2014, sobre técnicas de anonimización• 6/2014, sobre el concepto de ‘interés
legítimo’• 8/2014, sobre el ‘Internet de las Cosas’
http://www.avpd.eus
Principios de la Protección de Datos 43
Recomendaciones de la 36 Conferencia Internacional de DPA’s
1. Respetar el principio de “limitación de finalidad”2. Limitarla cantidad de datos recopilada según el
“principio de minimización”3. Obtener, siempre que sea posible, un
consentimiento válido y de calidad4. Ser transparente respecto de:
– Qué datos se recogen– Cómo serán tratados– Para qué finalidad serán usados y– Si serán cedidos a terceras partes
http://www.avpd.eus
Principios de la Protección de Datos 44
Recomendaciones de la 36 Conferencia … /2
5. Facilitar a los individuos acceso a los perfiles elaborados y permitirles corregir su información
6. Facilitar información sobre los criterios/algoritmos usados para establecer sus perfiles
http://www.avpd.eus
Principios de la Protección de Datos 45
Recomendaciones de la 36 Conferencia … /3
7. Aplicar los principios de “Privacidad desde el Diseño”
8. Aplicar técnicas robustas de anonimización 9. Cuidar especialmente la publicación de
datos pseudónimos y conjuntos de datos indirectamente identificables
10.Demostrar que las decisiones sobre ‘Big Data’ son justas, transparentes y responsables (‘Accountability’)
http://www.avpd.eus
Principios de la Protección de Datos 46
Recomendaciones adicionales, a la luz del #RGPD
1. Efectuar “Evaluaciones de Impacto sobre la Privacidad” antes de abordar proyectos de Big Data
2. Aplicar los principios de – “Privacidad por Defecto” – “Privacidad desde el Diseño”
http://www.avpd.eus
Principios de la Protección de Datos 47http://www.avpd.eus
1.- Evaluaciones de impacto sobre la Privacidad en #RGPD
• Art. 35.- Evaluación de impacto relativa a los datos– “Cuando sea probable que un tipo de
tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
– (…)
Principios de la Protección de Datos 48http://www.avpd.eus
Evaluaciones de impacto sobre la Privacidad …/2
• Art. 35.- Evaluación de impacto relativa a los datos - Deberá incluir, como mínimo:– a) una descripción sistemática de las operaciones de tratamiento
previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
– b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
– c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
– d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
Principios de la Protección de Datos 49
¿Cómo hacer Evaluaciones de impacto sobre la Privacidad?
http://www.avpd.eus
Principios de la Protección de Datos 52
7 Principios fundamentales de la Privacidad desde el Diseño
1. Diseño Proactivo, no Reactivo; • Preventivo, no Correctivo
2. Privacidad como configuración por defecto3. Privacidad incrustada en el diseño4. Funcionalidad total:
• “Suma-Positiva”, no “Suma-Zero”5. Seguridad en todo el ciclo de vida (“end-to-end”)6. Visibilidad y transparencia – “Keep it Open”7. Respeto a la privacidad personal (“User-centric”)
http://www.avpd.eus
Principios de la Protección de Datos 53
Protección de datos desde el diseño y por defecto en #RGPD
Art. 25.1.- Teniendo en cuenta – el estado de la técnica, el coste de la aplicación – y la naturaleza, ámbito, contexto y fines del tratamiento, – así como los riesgos de diversa probabilidad y gravedad que entraña el
tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará,
– tanto en el momento de determinar los medios de tratamiento – como en el momento del propio tratamiento, – medidas técnicas y organizativas apropiadas, como la seudonimización,
concebidas para aplicar de forma efectiva los principios de protección de datos,
– como la minimización de datos, e integrar las garantías necesarias en el tratamiento.
http://www.avpd.eus
Principios de la Protección de Datos 54http://www.avpd.eus
Art. 25.- Protección de datos desde el diseño y por defecto
(…)Art. 25.2.- El responsable del tratamiento implementará
mecanismos con miras a garantizar que, • por defecto, solo sean objeto de tratamiento los datos
personales necesarios para cada fin específico del tratamiento
• y, especialmente, que no se recojan ni conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación.
• En concreto, estos mecanismos garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas.
Principios de la Protección de Datos 55
CONSIDERACIÓN FINAL SOBRE ‘BIG DATA’ EN ESTADÍSTICAS OFICIALEShttp://www.avpd.eus
Principios de la Protección de Datos 56
Garantías y excepciones del tratamiento con fines estadísticos en el #RGPD
• Artículo 89 - Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos– 1. El tratamiento con (…) fines estadísticos estará sujeto a las
garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados.
– Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales.
– Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.
– Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.
http://www.avpd.eus
Principios de la Protección de Datos 57
Garantías y excepciones del tratamiento con fines estadísticos en el #RGPD
– 2. Cuando se traten datos personales con fines (…) estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21 [derechos ARCO], sujetas a las condiciones y garantías indicadas en el apartado 1 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.
– 3. (…)
http://www.avpd.eus
Principios de la Protección de Datos 58
“Un gran poder conlleva una gran responsabilidad”
• La legislación sobre protección de datos contempla expresamente los tratamientos con fines estadísticos, – habilitando el tratamiento– exceptuando limitaciones
• Por ello, las cautelas y motivos de preocupación apuntados anteriormente,– Se mitigan las “colisiones con los principios”– Se mantienen los “riesgos de re-identificación”
http://www.avpd.eus
Principios de la Protección de Datos 59http://www.avpd.eus
http://www.flickr.com/photos/rosino/3658259716/
Presentación disponible en:http://www.slideshare.net/paGonzalez