Llevo un tiempo desaparecido del blog porque este último mes ha sido bastante intenso de trabajo. Se suma que he estado también investigando sobre la problemática del Big data porque tenía una intervención en el Congreso
“La privacidad, ¿un lastre para la innovación tecnológica?” donde se plantearon los posibles retos jurídicos que deberán ser resueltos en los próximos años para garantizar esto que seguimos llamando "privacidad" y que además durante este tiempo también se han publicado algunas reflexiones interesantes como la posteada por Enrique Dans en
"¿Realmente existe la privacidad?" que hacían conveniente esperar un tiempo para también publicar un contenido más completo.
Tengo que confesar que preparando la charla tenía claro que quería ilustrar qué se estaba cocinando en los laboratorios de I+D+i de empresas muy grandes que tienen por objetivo mejorar nuestra calidad de vida y hacer progresar el avance tecnológico. Sin embargo no supe enfocar realmente cuales podrían ser los problemas de los futuros escenarios que se están planteando porque entiendo que el término privacidad está cambiando en nuestra sociedad. Joseba Enjuto también aportaba una interesante reflexión en
"Faldas y privacidad" para comentar el cambio en la percepción de este concepto que pueden tener los nativos digitales que precisamente no entienden su existencia sin la presencia en redes sociales.
Metiéndonos ya de lleno en el fondo de la cuestión, si este año ha sido el del "cloud computing" parece que el año que viene será el del "Big data". Por este término se debe entender según establece la
Wikipedia, "sistemas que manipulan grandes conjuntos de datos (o data sets). Las dificultades más habituales en estos casos se centran en la captura, el almacenado, búsqueda, compartir, análisis y visualización. La tendencia a manipular ingentes cantidades de datos se debe a la necesidad en muchos casos de incluir los datos relacionados del análisis en un gran conjunto de datos relacionado, tal es el ejemplo de los análisis de negocio, los datos de enfermedades infecciosas, o el combate con el crimen organizado."
He tenido que esperar a tener terminada la transformación del powerpoint que usé en el Congreso al formato Prezi porque empleé varios vídeos de Youtube que si hubiera subido a Slideshare o cualquier otro visualizador de powerpoint se habrían perdido. En este caso, los vídeos son esenciales para ilustrar en qué consiste el uso de estas tecnologías y cómo puede eso afectar a la privacidad.
Tras dejar reposar algunas de las reflexiones planteadas en la presentación, creo bajo mi humilde opinión que las tecnologías de Big data van a ser bastante disruptivas y van a cambiar muchas cosas tanto por enfoque como por resultados. Como informático además veo en estas tecnologías el cumplimento de uno de los grandes deseos y santos griales de nuestra profesión La ingeniería informática (informática significa información automática) es una disciplina que pretende la construcción de procesos y sistemas que llevan a la transformación de datos en información. Nuestra carrera a veces se confunde con las herramientas que se emplean pero el sentido de nuestra profesión está sobre todo orientado a establecer entornos que permitan la generación de conocimiento en base al procesado de datos que se transforman en información tras ser tratados.
Las tecnologías de Bigdata realmente son una evolución de las tecnologías de "business inteligence" que se pueden complementar con otras fuentes de información para obtener nuevos datos y nuevas informaciones.
En relación a la privacidad, creo que podemos hablar de la existencia de determinados riesgos potenciales que será la realidad la que se encargue de confirmar si acaban produciéndose o bien terminan siendo controlados o regulados. En relación al marco legislativo en materia de protección de datos creo que habría que plantearse una evolución de conceptos atendiendo a estos criterios:
- ¿Tiene sentido hablar de "datos de carácter personal" o tenemos que elevar el concepto al de "información de carácter personal"? Parece lo mismo pero no lo es y lo intento ilustrar con un ejemplo. Imaginemos que se tiene un fichero vinculado a mi persona donde esta mi nombre, mi usuario y las coordinadas GPS vinculadas a mi posición a lo largo del tiempo durante unos días. Visto de esta forma, efectivamente todos esos elementos son "datos" vinculados a mi y por tanto de carácter personal. Imaginemos que ahora, aplicando tecnologías de Big Data, añadimos a ese fichero una capa de posicionamiento geográfico que nos sirve para conocer de cada una de esas coordenadas GPS a qué tipo de sector o negocio pertenece o qué tipo de barrio o zona de la ciudad es (zona de negocios, zona de bares, zona de tiendas, etc.). ¿Realmente ese fichero de datos sigue siendo "solo eso" o hemos conseguido "correlacionar datos" para poder inferir o deducir "informaciones nuevas" que transforman lo que se puede saber sobre mi persona.? Yo sinceramente creo que se produce esto segundo y por tanto, al añadir un conjunto de datos no personales que sirven para "etiquetar o colorear" los datos existentes conseguimos más que la suma de las partes originales.
- ¿Tenemos que empezar a hablar de "datos suministrados por el afectado" y "datos inferidos o calculados"? Esto es básicamente importante porque afectaría al deber de información dado que al usuario habría que indicarle que ciertos datos que vaya a suministrar serán transformados en información que permitirá la explotación de otras finalidades. De nuevo trato de ilustrar el caso con un ejemplo. Imaginemos que yo al supermercado de la esquina le proporciono mis datos para que me entregue una tarjeta de fidelización y use una aplicación en el teléfono que permita conocer sus ofertas y que siga a su usuario en redes sociales. Ellos me informan que van a introducirlos en un fichero y me solicitan consentimiento para poder procesar esta información además de añadirse como un follower a nuestra cuenta en Twitter por ejemplo. ¿Está correctamente informado el afectado si la cláusula legal informa de qué se va a hacer con los datos directamente recogidos por el afectado? Yo creo que sería necesario que la finalidad explícitamente indique que además de la información recogida directamente de él, se van a utilizar otras fuentes externas que van a permitir otra serie de cuestiones con el objetivo de poder personalizar mejor la oferta de productos o servicios en base a un perfil más exacto de esa persona como potencial consumidor.
Tal como se comentaba en las reflexiones finales del Congreso, creo que ha llegado el momento de establecer ciertos principios esenciales que la tecnología debe respetar si o sí, a pesar de que su evolución siempre sea más rápida que la legislación que regula su uso. En este sentido, el marco de protección estaría formado por tres pilares esenciales e inamovibles:
- Principios de protección reconocidos por la legislación en materia de protección de datos y que deben conservar el deber de informar, el deber de otorgar consentimiento, la calidad de los datos, la seguridad y la relación de los terceros en los tratamientos.
- Los derechos de los afectados, como elemento esencial para seguir conservando la capacidad para decidir sobre la información que se genera en torno al afectado.
- Privacy by design como marco de diseño básico de toda tecnología que tenga por objetivo el uso o la explotación de datos de carácter personal.
Es evidente que el mundo de la privacidad puede formar parte de nuevos modelos de negocio y ello supone que existirán presiones de ciertos lobbies para intentar relajar o al menos disminuir los requisitos de protección que el marco actual garantiza. De hecho, los cambios van muy rápido. Cuando hice la presentación tuve que recurrir a un ejemplo puesto en las jornadas que la Fundación Telefónica realizó en Barcelona para hablar de Big Data. Hace una semana se anunciaba un
acuerdo entre Telefónica y Seguros Generali para el desarrollo de un nuevo seguro que usa un GPS para recoger información sobre el asegurado y de esa forma, poder ajustar y calcular mejor la póliza de debe pagar en base a su perfil de riesgo. Obviamente ciertos negocios van a conocer tanto al cliente que van a poder realizar ofertas muy interesantes y atractivas que conseguirán seducirlo como cliente. Obviamente esas ventajas tienen como sacrificio la perdida de cierta privacidad dado que ambas empresas van a conocer demasiada información sobre el cliente (Ponerse a imaginar lo que se puede deducir de una persona si sabes qué lugares frecuenta , en qué horarios, si respeta o no las normas de tráfico siempre, etc.). Nada de esto tiene por qué suponer incumplimientos de LOPD si las cosas se hacen de forma correcta y se respeta la LOPD y todos sus principios. Sin embargo, surge ahora un nuevo poder y como le dice el tio Ben a Spiderman, "un gran poder implica una gran responsabilidad". Una cosa sería que el asegurado sacrificara cierta parte de su privacidad por obtener una reducción en el precio de la póliza y otra muy distinta es que luego esa información fuera cedida a terceros que hicieran otros usos y para otras finalidades. Imaginemos en procesos de investigación por pleitos o divorcios, etc...
Este tipo de actuaciones serían irregulares en el marco LOPD pero ¿y si la recompensa es mucho mayor que la sanción por la infracción? ¿Puede ser rentable incluso no cumplir la LOPD?