Trabajamos con datos desglosados, casi en tiempo real, porque es una forma de poder ayudar a los pobres de manera eficiente, con el nivel de garantía que necesitan los socios. Pero también significa que tenemos que ser especialmente sensatos a la hora de asegurarnos de que lo hacemos bien.
Sabemos que no tenemos todas las respuestas, y contamos con asesores especializados en seguridad de la información, garantía y gobernanza que comprueban nuestro planteamiento y elaboran un plan:(https://www.crookford.co.uk/about-us/, por si interesa).
Nuestro principal enfoque/intención es el siguiente:
- Para los datos que superan el nivel de datos personales, la transparencia por defecto sigue siendo nuestro planteamiento: véase http://charliegoldsmithassociates.co.uk/tech/.
- Diga qué información desea recopilar y por qué, y pida el consentimiento, en persona, en el formulario o en la aplicación, con palabras que sea razonable esperar que la gente entienda.
- Tenga cuidado al pedir a la persona x que comparta datos sobre la persona y, incluso si se trata de un familiar cercano.
- Para los datos personales, anonimizar por defecto, y segmentar y autorizar el acceso adecuadamente: muy pocas personas tienen una necesidad legítima de poder trabajar con colecciones de datos no anonimizados más allá de un nivel local.
- Siempre que sea posible, establezca análisis "en el sistema". Cuando los análisis ad hoc sean realmente necesarios, anonimícelos por defecto y, por lo demás, proteja con contraseña los datos personales que se envíen por correo electrónico o soportes extraíbles.
- Tener en cuenta la "privacidad desde el diseño y por defecto" y garantizar que los datos se encriptan en tránsito y, en su caso, durante el reposo, y mantener registros de auditoría de los cambios.
- Alojamiento seguro y gestionado por profesionales y buenas prácticas de seguridad cuando se utiliza alojamiento autogestionado
- En los distintos países se pueden utilizar diferentes tipos de información para identificar a alguien, pueden existir diferentes incentivos y puede haber diferentes niveles de intentos de vigilar la circulación de datos: sea consciente y adáptese.
- Almacenar los datos biométricos con hash seguro
- Tratar los datos de todos con el mismo respeto, independientemente de que se recojan o conserven en la UE.
- Gobernanza clara de los datos: acordar en los contratos quién posee y gestiona el sistema, y la transición.
- Puesta a punto: conservar los datos personales sólo mientras sea razonablemente necesario
- Compartimos código, etc. en github, pero tenemos cuidado de desinfectarlo cuando lo hacemos.
- Recurrimos periódicamente a asesores externos para asegurarnos de que no hemos "pensado en grupo" en una vulnerabilidad.
En los próximos meses hablaremos más sobre este tema: es importante y nos importa no sólo hacerlo bien, sino sentar una buena pauta en la que puedan basarse los homólogos de otros países.
26.iii.18