GDPR de la UE y Big Data

Las buenas noticias primero: incluso con el GDPR de la UE, no hay necesidad de prescindir de las nuevas tecnologías. Sin embargo, el Big Data, la Industria 4.0 y la IA deben planificarse detalladamente desde el principio en términos de legislación internacional de protección de datos.

En particular, deben tenerse en cuenta las nuevas obligaciones relativas a la "privacidad desde el diseño/por defecto" y la evaluación obligatoria del impacto sobre la protección de datos (EIPD). Esto se debe a que las acciones relevantes para la protección de datos a las que se aplica el RGPD de la UE casi siempre implican la recogida, el tratamiento y el uso de datos personales.

Esto significa que toda la cadena de valor del tratamiento de datos está sujeta a las leyes de protección de datos, desde la generación/recopilación hasta la supresión. Esto se ha concretado y reforzado con el nuevo Reglamento, en particular los derechos al olvido, la rectificación de datos, la supresión, el bloqueo y la portabilidad de datos, así como la obligación de notificar las violaciones de datos.

Las obligaciones de documentación se ampliarán considerablemente y se harán extensivas al encargado del tratamiento en el futuro. El RGPD de la UE también amplía la aplicabilidad de la normativa de protección de datos de la UE a los encargados del tratamiento y a sus clientes en terceros países.

Otro aspecto nuevo es que ahora los encargados del tratamiento pueden ser considerados responsables (solidarios) de las violaciones de datos que se produzcan en el curso del tratamiento de datos que hayan encargado. El RGPD de la UE afecta a todas las empresas que hacen negocios desde la UE o mantienen relaciones comerciales en la UE o recogen, procesan y almacenan sus datos en los Estados miembros de la UE, es decir, también a las empresas u organizaciones con sede fuera de la UE.

El diseño de los procesos de big data, IA y digitalización debe tener en cuenta otros principios definitorios de la legislación de protección de datos de la UE, a saber, la prohibición fundamental del tratamiento de datos personales sujetos a consentimiento, el principio de limitación de la finalidad y la necesidad de justificación (ley, consentimiento).

Esto significa que cualquier uso de datos existentes para otros fines o la fusión de datos con datos de otras fuentes o cualquier cambio de finalidad requiere una nueva justificación adicional.

Esto a menudo genera problemas en estos procesos, ya que los datos tienen que ser arrancados de su contexto original, fusionados, reestructurados y analizados, y así darles nuevos usos.

El consentimiento individual no parece viable en este caso. El consentimiento sólo sería efectivo si se diera con la suficiente información y cumpliera las disposiciones de la ley sobre condiciones generales, en particular el requisito de transparencia.

Otro inconveniente es que el consentimiento puede retirarse en cualquier momento. En la medida en que existan justificaciones legales, éstas deberán utilizarse. Alternativamente, la gestión de contratos debe garantizar que el tratamiento de datos correspondiente es necesario para el inicio y cumplimiento de un contrato con el interesado o interesados, de modo que el diseño correspondiente de la relación contractual es el segundo medio de elección. El instrumento del consentimiento sólo debe utilizarse si y en la medida en que no se apliquen las justificaciones legales.

Otro punto importante es que los datos también se procesen de forma segura. Esto requiere un concepto de protección de datos adecuado que incluya también la copia de seguridad de los datos. La solución de copia de seguridad debe estar certificada para las aplicaciones, como es el caso de SEP para aplicaciones SAP en particular. Esto garantiza que no se pierda el soporte original del fabricante.

Como puede ver, el nuevo reglamento pretende ofrecer una mayor protección de los datos personales en particular, lo que naturalmente va de la mano de un enfoque estratégico más estricto del tratamiento de datos. Aunque parezca más complicado, por otro lado significa que el tratamiento de datos personales sigue siendo posible. Sólo que con más cuidado que en el pasado.