La Ley Orgánica de Protección de Datos obliga entre otras cosas a tener un inventario de los soportes que contienen información con datos personales. Un alumno del master sobre Data Analisys y Big Data hacía una pregunta interesante y curiosa a la vez en el foro de la asignatura sobre la seguridad de los datos personales; os lo contamos.

La cuestión planteada era consecuencia de la definición de «soporte» en el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, vulgo RLOPD: «Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos» Cuando tratamos ingentes cantidades de datos el tema del «objeto físico» se complica.
El término inglés Big-Data puede ser traducido como «Grandes volúmenes de datos». La cuestión relevante es dónde está la frontera entre lo que son grandes y pequeños volúmenes. Se suele considerar que el límite lo marca si esos datos se pueden almacenar y manipular desde un único ordenador o servidor o por su cuantía se hace aconsejable tenerlos distribuidos en varias unidades, básicamente tenerlo «en la nube.» Eso de la nube suena a algo etéreo ó mágico, pero la realidad es que la nube son más que un montón de discos duros dentro de un centro de datos. Son algo tan físico y tangible como el disco duro de nuestro ordenador. La diferencia es que sabemos dónde está físicamente nuestro equipo y en caso de los centros de datos desconocemos su ubicación. Además cuando se trabaja con estos volúmenes de información lo habitual es recurrir a más de un centro de datos.

El alumno describía muy bien la problemática [sic] «En particular para los soportes de ficheros automatizados o digitales, cualquier dato almacenado en la nube, realmente no es posible identificar donde, o cual es el soporte, que realmente contiene los datos, ni siquiera el mismo proveedor del servicio en la nube, tiene el conocimiento de esto, porque además, no solo será un soporte y estático, sino que para tener una alta disponibilidad, estará replicado y distribuido geográficamente, de un modo dinámico. ¿Cómo lo podemos identificar en ese caso?, y realmente ¿de qué sirve saberlo?…»

La replicación de datos a la que se refiere es algo muy similar a las copias de seguridad y con la particularidad de que se van realizando de forma automática y en paralelo a la grabación o modificación de datos que replican. Además según va creciendo el volumen de datos estos pueden ir cambiando de ubicación física, incluso entre diferentes centros de datos.

El problema surge a raíz de la obligación que impone el reglamento en su art.92 de realizar un inventario de los soportes y además identificar la información que contienen. Parece que estamos en un callejón sin salida.

Afortunadamente no. El mismo art. 92 en el párrafo siguiente pone [sic] «Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento.» (Se refiere al Documento de Seguridad que toda empresa que maneje datos personales debe tener redactado).

Evidentemente para usar estos servicios de alojamiento tiene que haber algún tipo de contrato entre el propietario del centro o algún intermediario y la empresa que va a ser uso de ese centro y que es a la postre la responsable de los datos. La cuestión de la protección de datos se resuelve simplemente asegurándonos (y poniendo en contrato) que el proveedor de servicios de alojamiento cumple con los niveles de seguridad que corresponden a los datos que allí eventualmente pueden residir.

El desarrollo del big data está poniendo sobre la mesa cuestiones que cuando hablábamos de minería de datos o almacenamiento de datos eran desconocidas. El apunte que hace esta persona es buena muestra de ello.