La agregación a gran escala de datos operativos, de negocio y de los clientes en un almacén de datos, así como su análisis con ayuda de métodos de data mining o de operaciones de OLAP, ofrece a las empresas una gran oportunidad a la hora de optimizar los procesos de negocio de forma sostenible. Junto a sus ventajas para la toma de decisiones, los abanderados de la protección de datos, sin embargo, también ponen de relieve los riesgos que este tipo de análisis de big data traen consigo, en particular para el derecho fundamental al control de la propia información y la protección de la esfera privada.
Según los críticos, los análisis que permiten la creación de perfiles personales y la predicción automatizada de formas de comportamiento y de actuación son los más peliagudos. En el centro del debate se sitúa el potencial de manipulación de los datos que se obtienen de estos análisis.
Si bien la legislación española no hace referencia a los almacenes de datos como tales, sí establece las responsabilidades de los denominados «responsables de los ficheros y de su tratamiento», denominación que incluye a personas físicas o jurídicas, es decir, a empresas públicas o privadas con un archivo de datos personales a su cargo, como un almacén de datos. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, conocida como LOPD, define estas responsabilidades como obligaciones:
1. Inscripción del fichero: el responsable de los ficheros ha de notificarlos ante el Registro General de Protección de Datos para proceder a su inscripción. No solicitarla constituye una infracción leve según recoge la ley.
2. Calidad de los datos: la empresa o el responsable del fichero ha de garantizar que los datos que ha recogido son adecuados y veraces, se han recabado legítimamente y son utilizados exclusivamente para el fin para el que se obtuvieron. Este es un derecho fundamental recogido por el Tribunal Constitucional Europeo en la sentencia 292/2000 como derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal. Entre los principios asociados a la calidad de los datos, la LOPD y la RLOPD recogen que los datos son de calidad cuando son pertinentes y adecuados a la finalidad, se cancelan cuando ya no son necesarios para la finalidad con la que fueron recabados o no se recogen por medios ilícitos, desleales o fraudulentos (infracción grave recogida en el artículo 44.4.a).
3. Deber de guardar secreto (art. 10): la empresa ha de garantizar que se cumplen los deberes de secreto y seguridad (salvaguardarlos del acceso no autorizado de terceros). El artículo 9 impone a los responsables de ficheros adoptar las medidas necesarias para garantizar la seguridad técnica del archivo. Para facilitar a las empresas el cumplimiento de la LOPD, la Agencia Estatal por la protección de los datos ha elaborado esta guía de seguridad.
4. Deber de información (art. 5): antes de recabar los datos de ha de informar al interesado al respecto y obtener su debido consentimiento.
5. Atención de los derechos de los ciudadanos: se ha de garantizar que el ciudadano pueda ejercer su derecho de oposición, acceso, rectificación y cancelación; que las empresas con las que se colabora también cumplan con lo establecido en la LOPD, y cumplir con la legislación sectorial correspondiente. Según el artículo 44.3.e) de la LOPD "El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición" constituye una falta grave.
Sin delimitar explícitamente el caso de los almacenes de datos y de los procedimientos de análisis de big data, de la LOPD se extrae lo establecido por la AEPD en materia de almacenamiento de datos de cualquier forma que permita su tratamiento y su análisis, también en DWH. No cumplir con lo establecido puede desembocar en una infracción de mayor o menor gravedad, como la que ha recaído recientemente sobre Facebook por parte de la AEPD a raíz de una investigación a cargo de un Grupo de Contacto compuesto por las Autoridades de Protección de Datos de Bélgica, España, Francia, Hamburgo (Alemania) y Países Bajos.