Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

viernes, 20 de diciembre de 2013

Datos: más que una palabra de cinco letras

Resumen: Agradezco a Neelie Kroes (Vicepresidenta de la Comisión Europea), a través de su oficina de prensa, el consentimiento expreso al Blog “Aspectos Profesionales” para que publique, y traduzca del inglés al español, su intervención en el IAPP Europe Data Protection Congress/Brussels el 11 de diciembre de 2013 titulada “Data isn't a four-letter Word”. Me interesé por la ponencia debido a su temática, al coincidir con la línea editorial de este Blog, que busca un equilibrio satisfactorio entre privacidad e innovación.

Como sea que en inglés la palabra “D*A*T*A” tiene cuatro letras y en español “D*A*T*O*S” tiene cinco, me he visto en la “necesidad” de cambiarle el título a la traducción, manteniendo el espíritu del documento original.

Autor del artículo		Colaboración
NEELIE KROES
Actualizado	20 de diciembre de 2013

ÍNDICE

1. TEXTO DE LA PONENCIA

1.1. Introducción a la problemática
1.2. Encontrar el equilibrio entre innovación y privacidad
1.3. Ofrecer garantías
1.4. Una única ley de protección de datos para Europa
1.5. Sobre la seguridad

2. GLOSARIO
3. BIBLIOGRAFÍA CONSULTADA
4. DERECHOS DE AUTOR

1. TEXTO DE LA PONENCIA

1.1. Introducción a la problemática

Habéis hablado intensamente sobre datos y sobre cómo protegerlos. Yo también quiero hablar sobre ellos, tanto de la oportunidad como de la amenaza que suponen.

Hacer de los datos el motor de la economía europea salvaguardando los derechos fundamentales, aprovechando su impulso y fortaleciendo nuestras defensas.

Los datos son una encrucijada. Existen oportunidades:

Open Data
Big Data
Data Mining
Cloud Computing

Tim Berners Lee, creador del www (World Wide Web), vio el inmenso potencial del Open Data. Como dijo, si pones datos online, otras personas los usarán y harán con ellos cosas maravillosas que nunca hubieras podido imaginar.

Por otro lado, también existen amenazas:

A nuestra privacidad y a nuestros valores; y a la apertura que hace posible la innovación, el comercio y el intercambio.

Si se hace bien, podemos salvaguardar un futuro económico mejor.
Si se hace mal, se reduce la competitividad sin proteger la privacidad y seguimos dependiendo de los avances digitales de otros siendo igualmente vulnerables.

1.2. Encontrar el equilibrio entre innovación y privacidad

¿Cómo se encuentra el equilibro? Ni con histeria, ni con parálisis. Tampoco parando las cosas maravillosas que suceden impidiendo las que no lo son tanto. Así como tampoco considerando la palabra “datos” como algo negativo.

Estamos viendo como la economía se desarrolla alrededor de los datos y el Cloud Computing. Las empresas los usan, las industrias dependen de ellos, el volumen de datos crece de forma exponencial. Los datos no son exclusivamente una diapositiva en la economía, son una clase totalmente nueva de activos que requieren nuevas habilidades y nuevos puestos de trabajo.

Hay un amplio rango de aplicaciones: desde descodificar genes humanos hasta predecir el tráfico o incluso la economía. Sea lo que sea aquello que haces hoy, es muy posible que utilices grandes cantidades de datos como por ejemplo en la traducción, las búsquedas, las aplicaciones móviles.

Hay un mayor reconocimiento en el aumento de los datos que se ofrecen. Por ejemplo, el Open Data puede hacer que las administraciones públicas sean más transparentes así como estimular un mercado rico e innovador. Esto es lo que líderes del G8 reconocieron en junio con su Carta de Datos Abiertos (Open Data Charter). Asimismo, para los científicos, los Open Data y el Open Access ofrecen nuevas formas de investigación y progreso.

Esta ha sido la filosofía que la Comisión ha compartido durante algún tiempo y eso es de lo que trata nuestro paquete de “Open Data” de diciembre de 2011. Con nuevas leyes europeas para abrir administraciones públicas y un nuevo portal europeo sobre Open Data, y todas las publicaciones científicas financiadas por la Unión Europea disponibles en acceso abierto.

Ahora mismo no solo el G8 y la Comisión ven en los datos una oportunidad, sino también el Consejo Europeo. El pasado octubre, reconocieron el potencial de la innovación en Big Data, la necesidad de un mercado único en Cloud Computing y la urgencia de que Europa invierta en ambos.

Nosotros trabajaremos en ello. La próxima primavera, planeo una agenda estratégica para la investigación en datos. Trabajaremos con socios privados y financiadores nacionales para conformar esa agenda y sacar el mayor provecho en nuestra Euro investigación.

Y, además de la investigación, hay muchas cosas que podemos hacer para alinear nuestro trabajo y apoyar la aseguración de los Big Data: desde formar a trabajadores a modernizar los derechos de autor de los datos y el Text Mining, a diferentes agentes en la cadena de valores trabajando juntos; por ejemplo a través de una colaboración pública-privada.

Para algunos, la reacción instintiva es preocuparse por estas tendencias. Ven el auge de los Big Data, los móviles y el Cloud Computing como un cambio de paradigma en la privacidad con datos infinitos mezclándose y conduciendo a resultados intrusivos, molestos o simplemente erróneos.

Estoy de acuerdo en que no deberíamos ignorar esos riesgos; deberíamos comprenderlos.

Tenemos que asegurarnos que las nuevas tecnologías están diseñadas para respetar la privacidad, sin que la ley se convierta en una camisa de fuerza para la innovación.

Respetar los derechos fundamentales no significa que no se aprovechen las oportunidad y menos aún perder esta oportunidad. Al contrario, controlar los Big Data es controlar la privacidad.

Porque necesitamos reconocer que el mundo de mañana será digital. Y en el mundo digital, Europa puede ser líder o seguidora; podemos estar a la mesa o en el menú; así que recordemos las posibilidades que se ofrecen y no temamos capturarlas.

En el punto en el que se encuentra la economía, no podemos temer a las nuevas oportunidades. De hecho, muchos servicios online se basan en los datos y son gratuitos por la información que la gente provee. De alguna manera, los datos se han convertido en moneda de cambio y se ha probado que son un modelo de negocio válido.

Y la mayoría de la gente puede tomar esas decisiones por sí misma; si intercambiar datos por un servicio. Los adultos informados con opciones legales y transparentes pueden tener el control de su propia privacidad. En un mercado competitivo, puede hacerse ese intercambio y nuestras políticas de datos deberían estar desarrolladas a la par. De hecho, construir ese mercado competitivo ofrece una gran oportunidad económica.

Dar poder a la gente no siempre es tan fácil en este mundo online tan complejo. Quiero ver surgir soluciones técnicas que puedan hacerlo, dar a los usuarios el control sobre el nivel de privacidad que desean y sobre cómo se usarán sus datos, y facilitar la comprobación de que se respetan los derechos online.

1.3. Ofrecer garantías

¿Cómo podemos hacerlo? ¿Cómo podemos garantizar sistemas que son autónomos, transparentes y seguros? Hay varias sutilezas en juego. Esto es lo que opino.

En primer lugar, las empresas que participan necesitarán empezar a pensar en la protección de la privacidad a todos los niveles: desde el desarrollo del sistema hasta los procedimientos y la práctica.

Este es el principio de PbD (Privacidad por Diseño) que se establece con claridad en la legislación de la protección de datos. En otras palabras, de ahora en adelante las nuevas ideas empresariales tienen dos objetivos: prestar un servicio y proteger la privacidad al nivel adecuado.

Segundo, y también según la legislación, las aplicaciones de Big Data que puedan poner en peligro los derechos fundamentales exigirán que la empresa realice una “Evaluación de Impacto de la Privacidad” o PIA (Privacy Impact Assessment). Esta es otra buena manera de combinar innovación y privacidad: asegurando aquello que se piensa de los riesgos desde el inicio.

Tercero, a veces, particularmente en los datos personales, una empresa puede que necesite el consentimiento del usuario. El consentimiento es una piedra angular en las normas de protección de datos y debería seguir siendo así.

Sin embargo necesitamos esforzarnos y aplicar el sentido común para dar consentimiento. No se puede esperar que los usuarios lo sepan todo ni se les puede pedir consentimiento a algo que realmente no entienden. Tampoco se les puede presentar falsos dilemas: una elección de extremos entre consentir o quedarse sin el servicio.

Cuarto, también podemos esforzarnos en cuanto al anonimato. A veces, el anonimato total conlleva perder información importante de manera que no se puedan enlazar los datos. Eso podría hacer la diferencia entre el progreso y la parálisis; aunque usar pseudónimos nos puede dejar analizar grandes cantidades de datos y detectar, por ejemplo, si gente con el modelo genético X también responde bien a la terapia Y.

Se puede entender porque el Parlamento Europeo ha propuesto un régimen de protección de datos más flexible para este tipo de datos. Las empresas podrán procesar los datos por motivos justificados, más que por consentimiento. Esto podría significar la diferencia positiva en lo que hace a los Big Data, sin poner en peligro la privacidad.

Desde luego, en esos casos las empresas todavía tienen que minimizar los riesgos de privacidad. Sus procesos internos y las evaluaciones de riesgos deben mostrar como cumplen con los principios rectores de la ley de protección de datos. Y, si algo va mal, la empresa sigue siendo responsable.

Indudablemente la responsabilidad de la empresa es otro aspecto clave de nuestra propuesta. Y, por lo tanto, una vez más agradecemos al Parlamento Europeo sus esfuerzos por apoyarlo. Desde luego, la responsabilidad sería diferente para cada empresa, pero las normas de conformidad y los procesos podrían marcar un antes y un después.

1.4. Una única ley de protección de datos para Europa

Una única ley de protección de datos para Europa sería un gran paso hacia delante. Las fortalezas nacionales y las barreras del mercado único dificultan que Europa lidere el ámbito digital y se convierta en el hábitat natural de los servicios online seguros.

La protección de datos no puede ir ligada al proteccionismo de datos, ni salvaguardar la privacidad tiene que ir a expensas de la innovación, mediante leyes flexibles y mirando al futuro, pragmáticas y proporcionales, para cambiar el mundo.

Por supuesto, las leyes nunca son suficientes, necesitan aplicarse correctamente. Así que apoyo plenamente las iniciativas de la industria que pretenden garantizarlo. Hasta ahora se ha hecho un buen trabajo, por ejemplo, en el código de conducta de protección de datos para los proveedores de Cloud Computing, una tarea conjunta llevada a cabo por la industria y las autoridades nacionales de protección de datos. Y estoy deseando tener la versión final de este plan a principios del año próximo, aprobado por el Grupo de Trabajo del Artículo 29.

1.5. Sobre la seguridad

Sin embargo las normas sobre protección de datos son solo el comienzo. Son solo parte de nuestra respuesta a las revelaciones de Snowden.

Porque seamos honestos: hace muchos años que existe el espionaje, puede que sea la segunda profesión más antigua del mundo, y usa cualquier herramienta que tenga mano. Hoy en día, las digitales.

Así pues no seamos ingenuos. Por muy bien definida y cuidadosamente negociada que esté, el riesgo de romper la ley europea no disuade al hacker o espía mediocres. Cuando te fuerzan la puerta, no necesitas un abogado, necesitas una cerradura.

La respuesta deberá tener en cuenta muchos otros elementos más allá de la protección de datos. Y lo hará.

También invertiremos en soluciones de seguridad a través de nuestro programa de investigación e innovación Horizon 2020. Hemos propuesto salvaguardas legales: un público atento y agentes privados para mantener redes y sistemas fuertes y seguros protegidos de la piratería y el espionaje a través de una Directiva sobre la seguridad de redes y de la información.

Y podemos garantizar un Cloud Computing seguro y transparente de forma que los usuarios habituales obtengan contratos bien claros de lo que ocurre con sus datos y si abandonaran Europa.

Con los gobiernos trabajando juntos para encontrar soluciones que cumplen las normas de seguridad más elevadas para llevar al Cloud europeo a la altitud correcta.

La protección de datos no trata de poner obstáculos a empresas bien intencionadas o de limitar las opciones de innovadores, sino de salvaguardar los derechos fundamentales, crear confianza y garantizar un sistema construido en la legalidad, la transparencia y el control del usuario.

En último lugar, nuestro objetivo debe quedar claro: estimular el liderazgo de Europa y hacer de nuestro continente el hábitat natural de servicios seguros en línea.

Esto es de lo que se ocupa la Agenda Digital: de asegurar que Europa se beneficie de la rica era online en términos de crecimiento, oportunidades y trabajo.

Encontremos la solución que permita ir de la mano a la apertura, a la innovación y a los derechos fundamentales.

2. GLOSARIO

NOTA DEL EDITOR: Si bien éste glosario no consta en el documento original, he creído conveniente incorporarlo para facilitar la comprensión de aquellos lectores que no estén familiarizados con alguno de los términos, que aparecen citados a lo largo del texto, referidos a tendencias innovadoras.

Big Data (Grandes Datos): Si bien pueden encontrarse diversas definiciones del término Big Data, en general puede decirse que se trata de datos que no pueden ser capturados, almacenados y analizados ni con la infraestructura ni con el software tradicional que se han empleado hasta ahora.

Específicamente el término Big Data se refiere a las herramientas, procesos y procedimientos que permiten a las organizaciones generar, manipular y administrar grandes cantidades de datos, de múltiples orígenes y en diversos formatos, para explotarlos en su beneficio obteniendo valor a partir de ellos.

Cloud Computing (Computación en la Nube): Si bien existen gran variedad de modelos de despliegue y de entrega diferentes, en general y, específicamente la Nube pública (que quizá es la más representativa), consiste en un modelo de entrega de servicios TIC externalizados, de forma que quién los contrata no requiere disponer de una infraestructura informática propia.

Todo el pool de recursos compartido lo posee el prestador de servicios (CSP – Cloud Services Provider), quién pone a disposición de sus clientes un sistema de aprovisionamiento automatizado al que se accede mediante un portal en Internet. Aparece el concepto de libertad de aprovisionar y liberar recursos bajo demanda, con un sistema asociado de pago por uso. Evidentemente los servicios contratados por el conjunto de clientes están aislados entre sí evitando cualquier interferencia.

Data Mining (Minería de Datos):
La minería de datos se corresponde con la etapa de análisis, en un proceso de obtención de conocimiento a partir de los datos. Asociada a Big Data, la minería de datos intenta descubrir patrones en grandes volúmenes de datos desestructurados y a menudo procedentes de orígenes diferentes. El objetivo general del proceso de minería de datos consiste en extraer información de un conjunto de datos y transformarla en una estructura comprensible para su uso posterior. Las diferentes actividades del proceso requieren de un análisis en bruto, tratamiento de datos, modelos y consideraciones de inferencia, métricas de intereses, teoría de la complejidad computacional, post-procesamiento de las estructuras descubiertas, visualización y actualización en línea.

Open Data (Datos Abiertos): Mediante el término “Datos Abiertos” solemos referirnos al libre acceso a la información pública, respetando derechos fundamentales de los demás ciudadanos, para poder obtener valor de ella. Además de permitir a la sociedad la obtención de valor a partir de los datos en poder de las Administraciones públicas y otros organismos, se erige como un garante de transparencia.

En España se ha aprobado la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

Text Mining (Minería de Textos): Minería de textos, también conocida como minería de datos de textos, se refiere al proceso de obtener información de alta calidad a partir del análisis del texto. Dicha información se deriva normalmente a través de la elaboración de patrones y tendencias a través de medios como el aprendizaje de patrones estadísticos.

La minería de textos generalmente implica un proceso de estructurar el texto de entrada partiendo de un análisis, derivando los patrones en los datos estructurados y finalmente evaluando e interpretando los resultados.

"Alta calidad" en la minería de textos generalmente se refiere a una combinación entre relevancia, novedad e interés.

3. BIBLIOGRAFÍA CONSULTADA

- Neelie Kroes (Vice-President of the European Commission responsible for the Digital Agenda). “Data isn't a four-letter Word”. 11 December 2013. IAPP Europe Data Protection Congress/Brussels.

Data isn't a four-letter Word (en Pdf)

4. DERECHOS DE AUTOR

Imágenes bajo licencia de 123RF internacional y de la Comisión Europea.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre la autora:

Neelie Kroes es vicepresidenta de la Comisión Europea responsable de la Agenda Digital para Europa.

Nació en Rotterdam, Países Bajos y estudió economía en la Erasmus University Rotterdam, antes de trabajar allí durante seis años como profesora asistente.

Su carrera política comenzó en el Consejo Municipal de Rotterdam, y en 1971 fue elegida miembro del parlamento holandés por el partido liberal VVD. Entre 1982 y 1989 sirvió como Ministra de Transporte, Obras Públicas y Telecomunicaciones en los Países Bajos.

Después de la política fue nombrada Presidenta de la Universidad Nyenrode Business Univeriteit durante el período 1991-2000, y sirve en varias juntas de compañías, incluyendo Lucent Technologies, Volvo , y P & O Nedlloyd.

Su trabajo de cooperación desinteresada incluye asesoramiento al Fondo Nelson Mandela para la Infancia y al Fondo Mundial de Investigación del Cáncer. Se interesa también, de forma continuada, en temas de salud mental.

Desde 2004, ha trabajado para la Comisión Europea, como miembro de la Comisión de trabajo para mantener una Europa pacífica y próspera. De 2004 a 2009, fue comisaria de Competencia, con la responsabilidad de garantizar la igualdad de condiciones para los negocios en Europa, precios justos y una amplia posibilidad de elección para los consumidores.

En 2010, se convirtió en vicepresidente de la Comisión Europea responsable de la Agenda Digital para Europa. Esta cartera incluye los sectores TIC (Tecnologías de la Información y las Comunicaciones) y telecomunicaciones. Por ejemplo: garantizar la confianza y la seguridad de Internet y las nuevas tecnologías; asegurar comunicaciones competitivas, como puede ser en el mercado de la itinerancia móvil; la creación de una investigación e innovación europea de primera clase en este sector; y, sobre todo, lograr que todos los “Digitales Europeos”, con acceso a la banda ancha, podamos sacar el máximo provecho de Internet para apoyar nuestra economía y sociedad.