miércoles, 12 de diciembre de 2012

Big data y LOPD, ¿Enemigos íntimos?

Llevo un tiempo desaparecido del blog porque este último mes ha sido bastante intenso de trabajo. Se suma que he estado también investigando sobre la problemática del Big data porque tenía una intervención en el Congreso “La privacidad, ¿un lastre para la innovación tecnológica?” donde se plantearon los posibles retos jurídicos que deberán ser resueltos en los próximos años para garantizar esto que seguimos llamando "privacidad" y que además durante este tiempo también se han publicado algunas reflexiones interesantes como la posteada por Enrique Dans en "¿Realmente existe la privacidad?" que hacían conveniente esperar un tiempo para también publicar un contenido más completo.

Tengo que confesar que preparando la charla tenía claro que quería ilustrar qué se estaba cocinando en los laboratorios de I+D+i de empresas muy grandes que tienen por objetivo mejorar nuestra calidad de vida y hacer progresar el avance tecnológico. Sin embargo no supe enfocar realmente cuales podrían ser los problemas de los futuros escenarios que se están planteando porque entiendo que el término privacidad está cambiando en nuestra sociedad. Joseba Enjuto también aportaba una interesante reflexión en "Faldas y privacidad" para comentar el cambio en la percepción de este concepto que pueden tener los nativos digitales que precisamente no entienden su existencia sin la presencia en redes sociales.

Metiéndonos ya de lleno en el fondo de la cuestión, si este año ha sido el del "cloud computing" parece que el año que viene será el del "Big data". Por este término se debe entender según establece la Wikipedia, "sistemas que manipulan grandes conjuntos de datos (o data sets). Las dificultades más habituales en estos casos se centran en la captura, el almacenado, búsqueda, compartir, análisis y visualización. La tendencia a manipular ingentes cantidades de datos se debe a la necesidad en muchos casos de incluir los datos relacionados del análisis en un gran conjunto de datos relacionado, tal es el ejemplo de los análisis de negocio, los datos de enfermedades infecciosas, o el combate con el crimen organizado."

He tenido que esperar a tener terminada la transformación del powerpoint que usé en el Congreso al formato Prezi porque empleé varios vídeos de Youtube que si hubiera subido a Slideshare o cualquier otro visualizador de powerpoint se habrían perdido. En este caso, los vídeos son esenciales para ilustrar en qué consiste el uso de estas tecnologías y cómo puede eso afectar a la privacidad.




Tras dejar reposar algunas de las reflexiones planteadas en la presentación, creo bajo mi humilde opinión que las tecnologías de Big data van a ser bastante disruptivas y van a cambiar muchas cosas tanto por enfoque como por resultados. Como informático además veo en estas tecnologías el cumplimento de uno de los grandes deseos y santos griales de nuestra profesión  La ingeniería informática (informática significa información automática) es una disciplina que pretende la construcción de procesos y sistemas que llevan a la transformación de datos en información. Nuestra carrera a veces se confunde con las herramientas que se emplean pero el sentido de nuestra profesión está sobre todo orientado a establecer entornos que permitan la generación de conocimiento en base al procesado de datos que se transforman en información tras ser tratados.
Las tecnologías de Bigdata realmente son una evolución de las tecnologías de "business inteligence" que se pueden complementar con otras fuentes de información para obtener nuevos datos y nuevas informaciones.

En relación a la privacidad, creo que podemos hablar de la existencia de determinados riesgos potenciales que será la realidad la que se encargue de confirmar si acaban produciéndose o bien terminan siendo controlados o regulados. En relación al marco legislativo en materia de protección de datos creo que habría que plantearse una evolución de conceptos atendiendo a estos criterios:

  • ¿Tiene sentido hablar de "datos de carácter personal" o tenemos que elevar el concepto al de "información de carácter personal"? Parece lo mismo pero no lo es y lo intento ilustrar con un ejemplo. Imaginemos que se tiene un fichero vinculado a mi persona donde esta mi nombre, mi usuario y las coordinadas GPS vinculadas a mi posición a lo largo del tiempo durante unos días. Visto de esta forma, efectivamente todos esos elementos  son "datos" vinculados a mi y por tanto de carácter personal. Imaginemos que ahora, aplicando tecnologías de Big Data, añadimos a ese fichero una capa de posicionamiento geográfico que nos sirve para conocer de cada una de esas coordenadas GPS a qué tipo de sector o negocio pertenece o qué tipo de barrio o zona de la ciudad es (zona de negocios, zona de bares, zona de tiendas, etc.). ¿Realmente ese fichero de datos sigue siendo "solo eso" o hemos conseguido "correlacionar datos" para poder inferir o deducir "informaciones nuevas" que transforman lo que se puede saber sobre mi persona.? Yo sinceramente creo que se produce esto segundo y por tanto, al añadir un conjunto de datos no personales que sirven para "etiquetar o colorear" los datos existentes conseguimos más que la suma de las partes originales.
  • ¿Tenemos que empezar a hablar de "datos suministrados por el afectado" y "datos inferidos o calculados"? Esto es básicamente importante porque afectaría al deber de información dado que al usuario habría que indicarle que ciertos datos que vaya a suministrar serán transformados en información que permitirá la explotación de otras finalidades. De nuevo trato de ilustrar el caso con un ejemplo. Imaginemos que yo al supermercado de la esquina le proporciono mis datos para que me entregue una tarjeta de fidelización y use una aplicación en el teléfono que permita conocer sus ofertas y que siga a su usuario en redes sociales. Ellos me informan que van a introducirlos en un fichero y me solicitan consentimiento para poder procesar esta información además de añadirse como un follower a nuestra cuenta en Twitter por ejemplo. ¿Está correctamente informado el afectado si la cláusula legal informa de qué se va a hacer con los datos directamente recogidos por el afectado? Yo creo que sería necesario que la finalidad explícitamente indique que además de la información recogida directamente de él, se van a utilizar otras fuentes externas que van a permitir otra serie de cuestiones con el objetivo de poder personalizar mejor la oferta de productos o servicios en base a un perfil más exacto de esa persona como potencial consumidor.
Tal como se comentaba en las reflexiones finales del Congreso, creo que ha llegado el momento de establecer ciertos principios esenciales que la tecnología debe respetar si o sí, a pesar de que su evolución siempre sea más rápida que la legislación que regula su uso. En este sentido, el marco de protección estaría formado por tres pilares esenciales e inamovibles:
  • Principios de protección reconocidos por la legislación en materia de protección de datos y que deben conservar el deber de informar, el deber de otorgar consentimiento, la calidad de los datos, la seguridad y la relación de los terceros en los tratamientos.
  • Los derechos de los afectados, como elemento esencial para seguir conservando la capacidad para decidir sobre la información que se genera en torno al afectado.
  • Privacy by design como marco de diseño básico de toda tecnología que tenga por objetivo el uso o la explotación de datos de carácter personal.
Es evidente que el mundo de la privacidad puede formar parte de nuevos modelos de negocio y ello supone que existirán presiones de ciertos lobbies para intentar relajar o al menos disminuir los requisitos de protección que el marco actual garantiza. De hecho, los cambios van muy rápido. Cuando hice la presentación tuve que recurrir a un ejemplo puesto en las jornadas que la Fundación Telefónica realizó en Barcelona para hablar de Big Data. Hace una semana se anunciaba un acuerdo entre Telefónica y Seguros Generali  para el desarrollo de un nuevo seguro que usa un GPS para recoger información sobre el asegurado y de esa forma, poder ajustar y calcular mejor la póliza de debe pagar en base a su perfil de riesgo. Obviamente ciertos negocios van a conocer tanto al cliente que van a poder realizar ofertas muy interesantes y atractivas que conseguirán seducirlo como cliente. Obviamente esas ventajas tienen como sacrificio la perdida de cierta privacidad dado que ambas empresas van a conocer demasiada información sobre el cliente (Ponerse a imaginar lo que se puede deducir de una persona si sabes qué lugares frecuenta , en qué horarios, si respeta o no las normas de tráfico siempre, etc.). Nada de esto tiene por qué suponer incumplimientos de LOPD si las cosas se hacen de forma correcta y se respeta la LOPD y todos sus principios. Sin embargo, surge ahora un nuevo poder y como le dice el tio Ben a Spiderman, "un gran poder implica una gran responsabilidad". Una cosa sería que el asegurado sacrificara cierta parte de su privacidad por obtener una reducción en el precio de la póliza y otra muy distinta es que luego esa información fuera cedida a terceros que hicieran otros usos y para otras finalidades. Imaginemos en procesos de investigación por pleitos o divorcios, etc... 
Este tipo de actuaciones serían irregulares en el marco LOPD pero ¿y si la recompensa es mucho mayor que la sanción por la infracción? ¿Puede ser rentable incluso no cumplir la LOPD? 


3 comentarios:

Farid dijo...

Javier, si el caso que explicas de Telefonica y Generali se populariza, los cambios legislativos (y de mentalidad) serán enormes y necesarios.
Por otra parte, ¿cuál es tu opinión sobre el Transparent Business y las tendencias de monitorización de las actividades de los trabajadores y sus implicaciones?

Anónimo dijo...

Buena entrada, como buena fue tu intervención. En Murcia, Javier... Me haces pensar con el tema del deber de información y las finalidades con que tratarás los datos... y la información que "podrás inferir" añadiendo capas y capas... pero, ¿no es cierto que hay mucha información que de momento "solo" se recopila y de momento básicamente ni se analiza por falta de capacidad?... lo que planteas iría por solicitar nuevos consentimientos, por supuesto debidamente informados, a medida que los fueras tratando para diversas cosas y esto parece francamente complejo... ¿no? Parece que la industria va mas por la defensa de la disociación, aunque francamente no me creo nada... ¿Qué opinas tú?
Un abrazo.
@LuisSalvadorMon

esendraga dijo...

Muy interesante y muy inquietante. Pero bien mirado, la privacidad no es casi nada, (salvo en lo referido al dinero, claro) porque como dice el saber popular, al final todo se sabe.
Casi más grave es lo que dice este tal Eli Pariser en el video del link, y que ya hace un tiempo vengo experimentando cuando hago nuevas búsquedas de ciertos temas y siempre saco los mismos resultados, cuando lo que necesito son puntos de vista diferentes.

Se resume en esto:
"As web companies strive to tailor their services (including news and search results) to our personal tastes, there's a dangerous unintended consequence: We get trapped in a "filter bubble" and don't get exposed to information that could challenge or broaden our worldview. Eli Pariser argues powerfully that this will ultimately prove to be bad for us and bad for democracy"

Pioneering online organizer Eli Pariser is the author of "The Filter Bubble," about how personalized search might be narrowing our worldview.

http://www.ted.com/talks/eli_pariser_beware_online_filter_bubbles.html?quote=931

Esen

 
;