¿Frena la privacidad el desarrollo del Internet de las cosas (IoT) y del Big Data?

Por Francisco R. González-Calero Manzanares

Frase conocida y recurrente en boca de lobbies y otros actores que nos intentan convencer de las maldades para la innovación y el desarrollo tecnológico de unas estrictas legislaciones de privacidad que son gravosas para las empresas, al aumentar sus gastos y burocracia de una manera desmesurada. Desde estas líneas trataremos de demostrar que esta afirmación no es tal, y que en nuestra modesta opinión, tecnología y privacidad deben ir de la mano puesto que no puede entenderse a una sin la otra.

El punto de partida lo tenemos en dos nuevos actores derivados del desarrollo tecnológico, a saber el denominado Internet de las cosas IoT (Internet of Things) y el Big Data. Podemos definir al primero como multitud de objetos de uso diario conectados a Internet (pulseras, relojes, smartphones, frigoríficos, televisores, vehículos…), de manera que en un futuro existirán más dispositivos conectados que personas. Su característica principal radica en el diseño de una estructura de red interconectada que permite que estos dispositivos físicos se comuniquen entre si con la capacidad de transmitir, compilar y analizar datos.

Por su parte el Big Data podría definirse como sistemas o herramientas que manejan ingentes cantidades de datos en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis. En la misma línea está la definición dada por McKinsey Global Institute (MGI), que lo entiende como “conjuntos de datos cuyo tamaño va más allá de la capacidad de captura, almacenado, gestión y análisis de las herramientas de base de datos”. Su característica principal radicaría en las denominadas 3v: volumen de datos tratados, velocidad de transformación y variedad de datos tratados aunque algunas fuentes las elevan a las 5v añadiendo a las anteriores el valor del sistema que procesa de una manera eficiente y con poco coste y la veracidad de los datos.

Llegados a este punto toca poner de manifiesto las innumerables ventajas y beneficios que para la humanidad pueden traer estas tecnologías. Así por poner algunos ejemplos, los vehículos conectados pueden detectar que un gran número de ellos se dirigen a un mismo punto y por ello, plantear vías alternativas que eviten el temido atasco. Los dispositivos ponibles o wearables pueden controlar determinadas variables del paciente (ritmo cardiaco, nivel de sustancias en sangre…) con lo que pueden acortar la estancia en hospitales o incluso, facilitar información en tiempo real del desarrollo de síntomas de enfermedad o prevenirlas (cáncer, infarto…), y a nivel doméstico podríamos despreocuparnos de la compra en el supermercado ya que el frigorífico conectado detectaría la escasez de un determinado alimento, daría orden de compra y realizaría el pago por tarjeta al supermercado o, el dispositivo de geolocalización del smartphone al detectar la cercanía del domicilio podría ordenar al sistema de calefacción o refrigeración su encendido.

Desde la perspectiva del Big Data, con los contadores inteligentes además del confort para el cliente y el ahorro de costes de personal, se podrían predecir picos de consumo eléctrico evitando así los molestos cortes de luz. O analizando datos de diversas fuentes en su conjunto se podrían predecir aumentos en la demanda de un determinado producto o servicio o, antes de su lanzamiento, si va a tener aceptación por el consumidor o no, o simplemente dirigirte publicidad personalizada que se sepa que será de su interés.

Visto así todo son ventajas para la humanidad, pero mira por donde aparece el experto en la materia y nos introduce un concepto que algunas legislaciones ya han adoptado denominado protección de datos de carácter personal o privacidad. Es entonces cuando se empieza a ver a esta figura como un lastre, un freno y una amenaza para este progreso, cuando la verdad es que sin ella, nunca desarrollarán todo su potencial.

El desarrollo de estas tecnologías tiene una gran amenaza, a saber que los potenciales consumidores recelen de las mismas y bien, no utilicen todo el potencial que estas permiten o bien, planteen continuas reclamaciones o denuncias que las paralicen. En nuestra opinión existen dos grandes pilares donde descansa la confianza en estas tecnologías: la seguridad y los tratamientos respetuosos y leales con la privacidad.

Sobre el primer pilar poco comentaremos porque es pacífico que la seguridad o ciberseguridad es fundamental para estas tecnologías y dispositivos puesto que afectan a su núcleo vital que es la confianza del usuario en las mismas. Raro es el día que no desayunamos con un robo-hackeo-ataque-ciberataque de contraseñas, información o datos de usuarios, fotografías íntimas, tarjetas de crédito y datos bancarios como el reciente robo de información y posterior publicación de datos de usuarios de la web de contactos para casados Ashley Madison. Incluso, a veces, esos ataques no van dirigidos contra datos personales sino contra secretos industriales o gubernamentales o incluso, por motivaciones políticas  o religiosas como el ciberataque a Sony Pictures o los protagonizados por el Estado Islámico. A veces inclusive por el simple regocijo “intelectual” del hacker que vulnera todas las barreras que encuentra. Sólo invirtiendo en seguridad-ciberseguridad, implantando protocolos, sistemas y herramientas actualizadas y acordes con el estado actual de la ciencia y la tecnología en ese momento y estableciendo revisiones y auditorías periódicas, es decir, implementando un verdadero y eficaz sistema de security-cybersecurity by design podremos paliar y mitigar, que no eliminar por completo esos riesgos, puesto que todo dispositivo o sistema conectado puede ser hackeado (ante un riesgo de colisión con otro vehículo, un vehículo inteligente lo puede ser).

El segundo pilar también incide en el núcleo vital de estas tecnologías, a saber, la confianza del usuario. Si el usuario percibe que no existe un verdadero tratamiento leal y acorde con su privacidad recelará de estas tecnologías y no las usará o las usará menos de lo esperado y deseable. Y es que en este bloque también acostumbramos a desayunar diariamente con noticias como que una marca de smartTV puede grabar tus conversaciones a través de la función de reconocimiento de voz y cederlas a terceros según una cláusula contractual y luego no sólo descubrimos que su competidor directo también lo hace, sino que también esa cláusula se encuentra contemplada para los smartphones, o que una compañía preinstala en fabrica adware en sus ordenadores que permite la monitorización y robo de datos o, causando gran alarma al tratarse de menores de edad, muñecas que cuentan con micro y Wifi, por lo que graban las conversaciones y las almacenan en la nube.

Sólo con verdaderas políticas de empresa basadas en el respeto a la privacidad desde el momento de la obtención del dato y durante todo su ciclo vital hasta su destrucción, lo que se viene a denominar “privacy by design” (privacidad desde el diseño) se generará confianza suficiente en los usuarios para el uso generalizado de todo su potencial. Los responsables y encargados de tratamiento o según otra definición, los controladores y procesadores de datos NO deben entender que los datos son de su propiedad sino que son meros administradores o gestores de los mismos.

Como bien recoge la Declaración de México D. F.: “Hacia la implantación de garantías para la protección de datos en los tratamientos de Big Data”  del Observatorio Iberoamericano de Protección de Datos, los principios que deben inspirar estos tratamientos deben ser los siguientes: ”“principio de inocuidad”, por el que los usos del Big Data bajo ninguna circunstancia deben perjudicar ni a los individuos, ni a la humanidad” y que, en todo caso, las excepciones a este principio deben ser establecidas por los legisladores desde una perspectiva restrictiva y garantista, el “principio de objeción”, por el que las personas puedan oponerse, de manera previa o a posteriori, a que su datos sean tratados, incluso de forma anonimizada, y sin que ello les impida usar las tecnologías, el “principio de seguridad”, las actividades de Big Data deben estar especialmente protegidas, a fin de evitar incidentes accidentales o malintencionados que pongan en riesgo a la información, el “principio de respeto al libre desarrollo de la personalidad”, deben prohibirse usos del Big Data que impliquen la modificación de comportamientos y el determinismo del dato, el “principio de responsabilidad”, por el que en todo momento debe poder atribuirse una determinada actividad de Big Data a una persona física o jurídica y, en su caso, exigirle responsabilidades, y el “principio de transparencia”, por el que deben articularse mecanismos que permitan que las personas afectadas sean conocedoras del uso que se hace de sus datos”.

Por poner algunos ejemplos finales, estos podrían ser algunos parámetros a tener en cuenta:

  • Gratuidad del servicio: si el servicio es gratuito, siempre cumpliendo con los deberes de información, consentimiento y calidad de los datos se podría ofrecer gratis a cambio de cierta información personal, o incluso graduarse el costo del producto o servicio en función de la información personal aportada en cada caso.
  • Expectativa de privacidad: no depende de la gratuidad u onerosidad del servicio puesto que no se tiene la misma a la hora de darse de alta en una red social que a la hora de crear una cuenta de correo electrónico.
  • El poder de elección del usuario: se puede optar por un smartphone u otro, por un servidor de correo electrónico u otro, pero por ejemplo, ante un sistema de mensajería instantánea de uso generalizado o el ingreso en una red social con implantación la única alternativa posible es mantenerte “desconectado y al margen”.
  • El poder de decisión del usuario: al adquirir un equipo o darse de alta en un servicio, el usuario debe ser capaz de configurar o eliminar todo aquello que desee y que sea accesorio al bien o servicio no siendo esencial para el mismo. Un ejemplo de buena práctica es la noticia que el próximo Android permitirá al usuario delimitar los permisos que concede a las APPS instaladas, aunque aún se echa de menos la posibilidad de desinstalación de aquellas que no sean necesarias para el buen funcionamiento del sistema operativo que vienen de fábrica.
  • Por el mero hecho de disociar datos no se soluciona el problema puesto que la anonimización total cada vez es más complicada y cruzando datos disociados de diversas fuentes podría llegarse a identificar al afectado.  Una buena praxis de privacy by design incluiría medidas para estos tratamientos de datos anonimizados.
  • Los representantes de las diferentes autoridades de control de protección de datos y los expertos cada vez acuden más como buena práctica a los denominados “tratamientos éticos” que implican que independientemente manejar datos personales o anonimizados, se deberían plantear unas preguntas previas tales como: qué datos necesito realmente, si los usos previstos son los necesarios y adecuados, etc., evitando así que al encontrarse el dato anonimizado no exista ningún tipo de control al no estar sometidos a día de hoy a regulación.

Quizás más de un lector piense que hace falta un tercer pilar, el de la concienciación y formación en privacidad de los usuarios, y desde luego tienen razón, aunque eso lo dejamos para un próximo post.

Artículo publicado por el autor originariamente en el blog de ENATIC.

Presentación de la Declaración de México Distrito Federal

Por Daniel A. López Carballo

El pasado sábado 23 de agosto de 2014 fue presentada la octava Declaración elaborada por colaboradores del Observatorio Iberoamericano de Protección de Datos por Dulcemaría Martínez Ruíz, colaboradora de la iniciativa. La presentación del documento tuvo lugar en el transcurso de la Jornada académica de protección de datos personales en Internet, dentro de la bienvenida para los alumnos de la cuarta generación de la Maestría en Derecho de las Tecnologías de la Información y Comunicación de INFOTEC, en la ciudad de México Distrito Federal.

En la Jornada, que tuvo lugar los días 22 y 23 de agosto, participaron Dña. Ximena Puente de la Mora (Presidenta del IFAI), el Dr. Julio Téllez (Investigador del Instituto de Investigaciones Jurídicas de la UNAM), la Mtra. Blanca Lilia Ibarra (Directora de Documentación del Tribunal Electoral del Poder Judicial de la Federación), así como el Mto. Manuel Haces Aviña (Gerente de Prospectiva en NIC México).

La Declaración de México D. F., hacia la implantación de garantías para la protección de datos en los tratamientos de Big Data, contó en su elaboración con la participación de expertos de México, España, Argentina, Ecuador, Colombia, Bolivia, Perú y Chile entre los que cabe destacar Ramón Miralles LópezJosé Luis Colom PlanasDulcemaría Martínez RuízLaura Vivet TañàHéctor E. Guzmán RodríguezAnalía AspisNelson Remolina Angarita, Lorenzo Martínez RodríguezHoracio Gutiérrez Gutiérrez, Edgar David Oliva TeránAdela GobernaJ. León UngerVioleta Guerra RamosAristeo García GonzálezPatricia Reyes Olmedo, Romina Florencia Cabrera, Marta Sánchez Valdeón, Javier Villegas Flores, Maria Paulina Casares Subia, Philipe C. Bienvenue Martin del Campo, Olivia Andrea Mendoza Enríquez, Federico Césal Lefranc Weegan, Jorge Moreno Loza, Cynthia Téllez Gutiérrez y Joab Andrés Mora, coordinados por Francisco R. González-Calero Manzanares y Daniel A. López Carballo.

El Big Data es un concepto que ha cobrado relevancia desde hace varios años, ya en 2006 Clive Humby hablaba de que los datos eran “el nuevo petróleo”, es así que al igual que el petróleo, los datos han impulsado una nueva visión de derrama económica y técnica, e incluso, se nos presenta como una oportunidad para ayudar a resolver los problemas de nuestra sociedad y nuestro entorno.

JORNADAAl hablar de Big Data se hace referencia al procesamiento de grandes cantidades de información, en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis, disponibles en diferentes formatos y estructuras, información de la cual gran parte está comprendida por los datos que los usuarios de Internet generan, ello a través de las redes sociales, blogs, publicaciones en páginas web, mails y toda la información generada por los dispositivos móviles, GPS y a través de cualquier otro dispositivo conectado a Internet. Debido a la abundancia de sensores, micrófonos, cámaras, escáneres médicos, imágenes, etc. en nuestras vidas, los datos generados a partir de estos elementos serán dentro de poco el segmento más grande de toda la información disponible.

Al correlacionar y contextualizar toda la información disponible en Internet e incluso, al fusionarla con la información de las fuentes de acceso público, se puede interpretar y entender del comportamiento de las personas, tales como, preferencias de vestuario, diversión o alimenticias, segmentando los resultados incluso por zonas, edades u otras características. El análisis anterior por lo general se encuentra enfocado al conocimiento del mercado, preferencias y satisfacción de las necesidades de los usuarios. Incluso se plantea la posibilidad de usos delictivos de esa información.

La Declaración nace como reflexión y exposición de la situación actual en materia de protección de datos en Iberoamérica y las líneas programáticas por los que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas en Internet, en el ámbito del fenómeno creciente del Big Data.

Anteriormente fueron presentados sendos documentos en Perú, Colombia, Argentina, Chile, Ecuador y Panamá sobre otros aspectos relevantes para una correcta protección de los datos y la unificación de criterios en Iberoamérica.

Big data en el sector financiero, una vacuna suigeneris del derecho al olvido

bigdata_financiero

Por Philipe C. Bienvenue Martin del Campo

Al iniciar el análisis de big data en el sector bancario y financiero me surgieron interrogantes de las más distintas índoles. Sabido es que la ingeniería aplicada para perfilamiento y conocimiento de clientes se utiliza en el sector analizado desde hace mucho tiempo, incluso antes de considerarse algún tipo de protección a los datos personales. Tampoco tenía ésta actividad un nombre apetecible para una época tecnologizada como la actual, era simplemente la labor de analistas de información de muy diversas fuentes para el ofrecimiento de determinados productos para determinados clientes y una pretensión de calificación de riesgo, considerando los antecedentes de cumplimiento de las obligaciones económicas de las personas en general.

Otra condición es que la información o datos que se analizaban se encontraban dispersos en muy diversas fuentes, tanto privadas como públicas, y ciertamente ninguna de ellas contaba con las autorizaciones que los titulares hoy, en términos generales deben dar o conocer a quienes las manipulan, como es el caso de las llamadas sociedades de información crediticia, entidades que refiriéndome al caso mexicano que es muy representativo de los países en los que existe, tienen por objeto fundamental el recopilar y manejar datos bancarios, financieros y otros relativos al historial crediticio y otras operaciones de naturaleza análoga de personas y empresas, mantenerlo y acrecerlo con aquellos datos que les proveen sus propios participantes (bancos, operadores financieros, casas comerciales[1] y autoridades) así como información de operaciones crediticias fraudulentas con objeto que los mismos sean entregados a los participantes y usados por éstos para llevar a cabo distintas actividades, la mayoría vinculada al explotación mediante el análisis del conocimiento de quienes ahí aparecen.

Al respecto del tema, consideremos al big data como tendencia y consecuencia en el avance de la tecnología, es la fórmula perfecta para el análisis de una gran cantidad de información para su posterior explotación por aquellos que la realizan y contar con una herramienta científica para la toma de decisiones. Dicho conocimiento puede poner en jaque la privacidad, la honra, la reputación y por supuesto el derecho a la protección de los datos personales, ya que todos tenemos información y datos por evidente consecuencia del desarrollo, actas de nacimiento, registros escolares, antecedentes laborales, historia social y por supuesto bancaria y financiera.

El derecho a la protección de datos personales viene analizando y produciendo un llamado “derecho al olvido” que no es más que la garantía de que la información inadecuada, incompleta o excesiva que se contenga en medios sea eliminada. Resulta interesante reconocer que precisamente frente el objeto del big data, éste derecho se convierte en un eslabón que rompe la certeza del análisis que se realiza ya que la veracidad de la información que se trata queda comprometida.

Precisamente en el ejercicio de éste derecho radica una disposición creada dentro del sector y circunscrita en las sociedades de información crediticia. En el caso mexicano, transcurridos seis años en términos generales aplicamos un “reseteo” de aquellos incumplimientos o desviaciones que se hubieran realizado para el cumplimiento de obligaciones y en consecuencia, aquellos análisis que se realicen contendrán una historia parcial de la realidad en el cumplimiento y perfilamiento que se realice con el big data.

De lo anterior surge la inquietud si será correcto que cada seis[2] años en el caso de México, estrenemos información respecto el comportamiento que tenemos en el cumplimiento de las obligaciones, cierto es que inicialmente se trata de aquellas de carácter privado, sin embargo también el sector público se ha incorporado, incluso el pago de impuestos será un tema a considerar dentro de éste tema. Como en otros derechos el indicado no es absoluto y debe contrastarse respecto de aquellos otros que integran la protección de datos, frente a los que pudiera estar en conflicto. Por último el incumplimiento a la obligación de eliminar información no conlleva una responsabilidad en el caso de aquellas entidades encargadas de su conservación, por lo que pareciera un juego de ellos/nosotros teniendo un derecho para una eliminación natural con el paso del tiempo de cierta historia, y ellos con una forma de evadirse de la misma responsabilidad a sabiendas de una norma imperfecta

[1] Empresa Comercial, la persona moral u organismo público distintos de las Entidades Financieras, que realice operaciones de crédito relacionadas con la venta de sus productos o prestación de servicios, u otras de naturaleza análoga; los fideicomisos de fomento económico constituidos por los Estados de la República y por el Distrito Federal, así como la persona moral y el fideicomiso que adquieran o administren cartera crediticia. Continuarán considerándose Empresa Comercial los fideicomisos mencionados, no obstante que se encuentren en proceso de extinción

[2] LEY PARA REGULAR LAS SOCIEDADES DE INFORMACIÓN CREDITICIA publicada en el Diario Oficial de la Federación el 15 de enero de 2002 y modificada el 10 de enero de 2014

Artículo 20.- La base de datos de las Sociedades se integrará con la información sobre operaciones crediticias y otras de naturaleza análoga que le sea proporcionada por los Usuarios. Los Usuarios que entreguen dicha información a las Sociedades deberán hacerlo de manera completa y veraz; asimismo, estarán obligados a señalar expresamente la fecha de origen de los créditos que inscriban y la fecha del primer incumplimiento. Las Sociedades no deberán inscribir por ningún motivo, créditos cuya fecha de origen no sea especificado por los Usuarios, o cuando éste tenga una antigüedad en cartera vencida mayor a 72 meses. Lo anterior, de conformidad con lo establecido en los artículos 23 y 24 de esta Ley.

Artículo 23.- Las Sociedades están obligadas a conservar los historiales crediticios que les sean proporcionados por los Usuarios, correspondientes a cualquier persona física o moral, al menos durante un plazo de setenta y dos meses.

Las Sociedades podrán eliminar del historial crediticio del Cliente aquella información que refleje el cumplimiento de cualquier obligación, después de setenta y dos meses de haberse incorporado tal cumplimiento en dicho historial.

En caso de información que refleje el incumplimiento ininterrumpido de cualquier obligación exigible así como las claves de prevención que les correspondan, las Sociedades deberán eliminarlas del historial crediticio del Cliente correspondiente, después de setenta y dos meses de haberse incorporado el incumplimiento por primera vez en dicho historial.

En el caso de créditos en los que existan tanto incumplimientos como pagos, las Sociedades deberán eliminar la información de cada período de incumplimiento, en el plazo señalado en el párrafo anterior, contado a partir de la fecha en que se incorpore en el historial crediticio el primer incumplimiento de cada periodo.

En el caso de créditos en los cuales se registren incumplimientos y posteriormente un pago parcial del saldo insoluto, las Sociedades deberán eliminar la información relativa al crédito así como las claves de prevención correspondientes, en el plazo señalado en el tercer párrafo de este artículo, contado a partir de la fecha en que se incorpore en el historial crediticio el primer incumplimiento.

En el caso de que el Cliente celebre un convenio de finiquito y pague lo establecido en éste, el Usuario deberá enviar a la Sociedad la información respectiva, a fin de que ésta refleje que el pago se ha realizado, con la correspondiente clave de observación. Las Sociedades deberán eliminar la información relativa a estos créditos, así como las claves de observación correspondientes, en el plazo señalado en el tercer párrafo de este artículo, contado a partir de la fecha en que se incorpore en el historial crediticio el primer incumplimiento.

Para efectos de este artículo se entenderá por periodo de incumplimiento el lapso que transcurra entre la fecha en que se deje de cumplir con una o más obligaciones consecutivas exigibles y la fecha en que se realice el pago respectivo.

Las Sociedades deberán eliminar la información relativa a créditos menores al equivalente a mil UDIS en los términos que establezca el Banco de México mediante disposiciones de carácter general; asimismo, en dichas disposiciones se podrá determinar un monto y plazo de referencia para eliminar el registro de saldos residuales de cuantías mínimas, el cual no podrá ser superior a cuarenta y ocho meses.

Se exceptúa a las Sociedades de la obligación de eliminar la información relativa al incumplimiento correspondiente del historial crediticio, en el plazo señalado en el segundo párrafo de este artículo, cuando en la fecha en que corresponda eliminarla, el incumplimiento en el pago exigible esté siendo objeto de juicio en tribunales. Lo anterior, con base en la información que al efecto y bajo protesta de decir verdad le proporcione el Usuario que corresponda, a la Sociedad de que se trate.

En el supuesto al que se refiere el párrafo anterior, la Sociedad deberá eliminar del historial crediticio la información sobre el incumplimiento de que se trate, una vez transcurridos seis meses contados a partir de que se haya cumplido el plazo señalado al efecto en el aludido segundo párrafo de este artículo, salvo que el Usuario acredite nuevamente que el juicio sigue pendiente de resolución, en cuyo caso el mencionado plazo de seis meses se prorrogará por un periodo igual y así sucesivamente hasta que proceda la eliminación correspondiente.

Artículo 23 Bis.- Las Sociedades, sin perjuicio de lo dispuesto en el artículo 23 de esta Ley podrán, bajo su más estricta responsabilidad, conservar información una vez vencidos los plazos a que se refiere dicho artículo, a fin de asegurarse de que la información que reciban de sus Usuarios con posterioridad a tales plazos, no esté relacionada con aquella que debió haber sido eliminada. En caso de recibirla, deberán dar aviso a la Comisión, si el Usuario que la entregue es supervisado por dicho órgano desconcentrado.

Artículo 66.- El Banco de México sancionará con multa de 1,000 a 15,000 veces el salario mínimo general diario vigente en el Distrito Federal, a las Sociedades cuando:

… IV. Omitan eliminar de su base de datos la información crediticia que el Banco de México establezca a través de disposiciones de carácter general expedidas con base en el artículo 23, octavo párrafo.

Administraciones públicas, Big Data y Open Data

opendata_aapp

Por Laura Vivet Tañà

El concepto de Open Data

Big data se define por su tamaño y el Open data por su utilidad.

Open data es el concepto utilizado para los datos abiertos y accesibles al público, compañías y organizaciones que los pueden utilizar para lanzar nuevos productos o servicios, analizar patrones, tomar decisiones, etc.

La estrategia Open data, nació el año 2009 en Washington y se refiere a la posibilidad de que, el ciudadano acceda a los datos del gobierno que, antes solo eran analizados en el interior de las administraciones públicas. Actualmente el concepto se ha extendido a los países europeos a través de la Agenda Digital Europea y también a algunos países de la América Latina como Argentina, Colombia y Perú.

En el modelo Open data los datos deben ser accesibles a cualquier persona y se han de facilitar de modo que, permitan su utilización con fines comerciales o no comerciales. Estos datos han de ser accesibles de forma gratuita o a un coste mínimo.

Open data no solo se ha de referir a los datos de los gobiernos, también podría abrirse por parte de empresas de transporte, bibliotecas, universidades, museos, arte y cultura, consumo energético, geología, astronomía, temas de educación, etc. y se han de facilitar en un formato electrónico normalizado.

El uso avanzado de información de la administración se ha de construir sobre una base que permita, no solo mejorar la transparencia, eficiencia y eficacia de las Administraciones Públicas sino también, garantizar los derechos y garantías jurídicas de los ciudadanos.

Por este motivo, es importante revisar y adaptar la normativa jurídica vigente, teniendo en cuenta las características específicas de cada materia o archivo (datos históricos, datos de salud, antecedentes penales, etc.) y redefinir las relaciones con los ciudadanos y empresas y sus derechos.

Hay que tener en cuenta que, aunque la información relativa a una persona identificada o identificable esté a disposición del público, debe seguir estando protegida por la legislación sobre protección de datos, garantizando los derechos, libertades y dignidad de las personas interesadas.

Determinación sobre cómo se publican los datos:

La entidad pública deberá determinar en cada caso, si la información se facilita:

  • Sin incluir datos personales, por ejemplo, facilitando datos estadísticos, lo cual excluiría limitaciones referentes a la normativa de protección de datos como la necesidad de consentimiento, finalidad determinada, proporcionalidad, etc.
  • De forma anónima, en este caso, se deberá garantizar que se han empleado las técnicas y evaluaciones necesarias para evitar que estos datos puedan ser reidentificados. Se deberá evaluar y realizar pruebas sobre el riesgo de reidentificación reidentificaicón. Si el resultado de estas valoraciones no es positivo, la autoridad debería establecer limitaciones, de acuerdo con el apartado siguiente o bloquear su publicación.
  • Incluyendo datos personales, en este caso las garantías de protección de datos e intimidad de las personas resultan plenamente aplicables y por tanto se requerirá:

o      que la publicación de estos datos sea compatible con las finalidades determinadas en el momento de su recogida (evitar finalidades incompatibles, por ejemplo mensajes comerciales no solicitados, etc.).

o      Deberá existir una base jurídica sólida para la publicación (basada en el consentimiento del afectado o en el complimiento de una ley claramente definida con un objetivo legítimo).

o      la divulgación de estos datos ha de ser siempre necesaria y proporcionada al objetivo legítimo perseguido por la normativa.

o      Establecer condiciones específicas y salvaguardas para  su utilización.

La Administración deberá aplicar un criterio de prudencia antes de decidir cómo publicará la información ya que, una vez los datos se han puesto a disposición del público y son accesibles a través de internet, es muy difícil limitar su uso y garantizar le cumplimiento de las normas sobre protección de datos.

También convendrá revisar las normativas sectoriales y específicas, con el fin de evitar resultados incompatibilidades o contradicciones. Por ejemplo que, al relacionar datos publicados por la administración, con otros datos accesibles a través de internet, pueda resultar en finalidades incompatibles.

Principio de finalidad, proporcionalidad y minimización de datos

La limitación de la finalidad ha de estar siempre presente en el modelo de open data, para garantizar un tratamiento compatible con la recogida inicial.

Para la evaluación del tratamiento ulterior de los datos se tendrá en consideración:

  • La relación entre los fines para los que se recogieron los datos personales inicialmente y los fines de su tratamiento ulterior
  • El contexto en el que se recogieron estos datos y expectativas razonables de los interesados de su posterior uso
  • Naturaleza de los datos personales e impacto del tratamiento ulterior en los interesados
  • Medidas de salvaguardia para garantizar un tratamiento leal y evitar repercusiones indebidas al interesado.

Deberá aplicarse un principio de proporcionalidad y de minimización de datos, solo publicar los datos estrictamente necesarios para cumplir con una finalidad concreta y determinada.

También se deberá de tener en cuenta como se accede a estos datos y garantizar que los datos personales de los afectados quedan protegidos incluso si se trasladan a otros estados o países. Para ello deberán establecerse garantías adecuadas.

Evaluación e impacto de la protección de datos

Antes de que la administración pública decida abrir determinados archivos o información al público en base al concepto de Open Data deberá realizar previamente una evaluación de impacto de la protección de datos:

  • Servirá para evaluar los riesgos derivados de la apertura de esta información e impacto en la intimidad de los afectados, especialmente teniendo en cuenta que, la información incluso si se publica de forma anónima, puede llegar a identificar a una persona si se relaciona con otra información pública o disponible en internet.
  • Aplicar los principios de privacidad por diseño y por defecto.
  • Determinar en qué condiciones y garantías se puede permitir su utilización. Valorar el establecimiento de una licencia de uso que determine limitaciones en la utilización, así como responsabilidades y sanciones en caso de incumplimiento.
  • Fijar una base jurídica para su divulgación que establezca finalidades determinadas y actuaciones prohibidas.
  • Aplicación de los principios básicos de protección de datos: limitación de la finalidad, proporcionalidad, calidad, minimización de datos.
  • Escuchar a todas las partes interesadas y tenerlas en consideración, para poder equilibrar los riesgos en juego, antes de decidir la publicación de estos datos (autoridad pública titular de los datos, entidades privadas que interesa acceder a dichos datos y representantes del colectivo de personas afectadas).
  • Contar con el soporte y consejo de las autoridades de protección de datos.

También es importante que, se fomente la cooperación entre diferentes organizaciones públicas con el fin de que se compartan buenas prácticas y códigos de conducta relativos a la apertura de datos entre las diferentes entidades públicas, a nivel estatal, provincial o local.

Administraciones públicas y Big Data

El concepto de Big Data

A través del Big data se puede procesar no solo información obrante en varias Administraciones Públicas, otras empresas o terceros sino también, información disponible en Internet sin protección (por ejemplo, redes sociales, blogs, foros, webs…), este tratamiento puede tener una especial relevancia en las actuaciones inspectoras de la administración, actuaciones policiales, en el control de subvenciones, prestaciones por bajas médicas, subsidios de desempleo, etc.

Principios básicos

Por todo ello, el uso del Big Data en el ámbito de la administración ha de configurarse sobre un principio de transparencia más elevado pues mucha información que se obtenga podrá provenir de terceros o sin el conocimiento del afectado.

En el tratamiento de esta información es importante tener presentes los derechos básicos del ciudadano en materia de protección de datos basados en el consentimiento para el tratamiento de datos, el principio de finalidad y en los derechos de acceso, rectificación, cancelación u oposición. Y todo ello, sin olvidar un derecho de indemnización a favor del afectado en caso de que, la actuación de la administración haya vulnerado dichos principios y con ello haya causado daños y perjuicios que deban ser reparados.

El derecho de los ciudadanos a resarcirse de los daños y perjuicios causados por un defectuoso tratamiento o vulneración de los procedimientos y garantías básicas por parte de la administración, puede ayudar a conseguir un mejor equilibrio y funcionamiento del sistema, en el sentido de que, la administración no se verá tentada a tratar información de forma indiscriminada y a basar sus decisiones estrictamente en un tratamiento automatizado. No obstante, para su efectividad es necesario que el acceso de los ciudadanos a este resarcimiento no se vea desnaturalizado por procedimientos demasiado burocráticos y costosos.

Adopción de decisiones basadas en el Big Data

Si la administración pública desea adoptar decisiones basadas en información que no ha sido facilitada por el propio usuario hay que preguntarse donde se sitúan los límites ya que, esta información podría traer graves consecuencias contra el usuario (por ejemplo, inicio de una actuación inspectora) y estas consecuencias podría tener su origen en información falsa, incorrecta u obsoleta.

En este sentido, se podría valorar un sistema que estableciera una serie de garantías, por ejemplo:

  • Antes de recabar información que no ha sido facilitada por el propio usuario, es necesario solicitar el consentimiento del afectado. Igualmente este consentimiento sería necesario para la utilización de los datos para nuevas finalidades.
  • limitación en las finalidades, esta información solamente se puede utilizar por determinados sujetos y para finalidades concretas “numerus clausus”.
  • En relación a datos de salud (o datos sensibles en general) exigir la adopción de medidas más estrictas, consentimiento reforzado y relevancia para su tratamiento.
  • calidad en los datos (completos, actualizados y exactos), no se pueden recabar datos de forma indiscriminada sino, los que son relevantes para la concreta finalidad que han de cumplir.
  • Un importante derecho de acceso y rectificación, incluyendo un procedimiento para permitir al usuario poner en duda la información de que dispone la entidad cuando no es correcta, y permitir rectificarla. Todo ello, con carácter previo a que se pueda utilizar esta información para evaluar al sujeto. Igualmente, el afectado ha de disponer de un derecho de acceso a obtener esta información siempre que lo interese, de forma fácil y accesible.  Este derecho de acceso debería permitir conocer el origen de la información para facilitar un mejor control sobre los propios datos. En el caso de las administraciones públicas el derecho de acceso debería facilitarse de forma gratuita.
  • Igualmente las administraciones deberían hacer accesibles los criterios en base a los cuales adoptan decisiones basadas en esta información.
  • Transparencia y “accountability”: la actuación de las administraciones públicas deberá estar gobernada por un principio de transparencia y sujetas a una obligación de responsabilidad de sus actuaciones y debiendo rendir cuentas frente los ciudadanos.

El respeto a los derechos de privacidad e intimidad de las personas, a la libertad de expresión y el derecho a la legítima defensa no deben verse mermados por la utilización del Big Data en la administración pública puesto que, su finalidad es servir a sus ciudadanos, regular y mejorar el buen funcionamiento de la sociedad, no convertirse en un estado policial o en un Big Brother.

Big data y Smart Cities

El Big Data también puede contribuir al desarrollo de “Smart cities” ciudades inteligentes, basadas en un modelo de sostenibilidad y eficiencia respondiendo a las necesidades básicas de sus habitantes, instituciones y empresas. Por ejemplo:

  • Contribuir a una gestión más eficiente y sostenible de los recursos naturales. Crear patrones de consumo que permitan mejorar la planificación y utilización de las energías alternativas, promoviendo la sostenibilidad y el ahorro. Por ejemplo, con una gestión eficiente del alumbrado público, solo en las horas que no hay luz natural.
  • Fomentar la participación ciudadana para conocer sus necesidades y mejorar los servicios. También para permitir valorar los servicios o denunciar situaciones de forma fácil y ágil, a través de Internet o mediante aplicaciones móviles y de este modo, poder obtener una solución más rápida y eficaz.
  • Contribuir en una planificación más eficaz del transporte público a partir de múltiples sensores ubicados estratégicamente y de dispositivos móviles de los ciudadanos, también mejorar la gestión de aparcamientos, evitar retenciones y mejorar la circulación.
  • Mejorar y optimizar las redes de telecomunicaciones garantizando su continuidad y calidad.
  • Utilización de sensores en los trenes para detectar actividad sísmica y en caso de advertir una actividad inusual, enviar una mensaje para desactivar los trenes. Este sistema ya se está utilizando en los trenes de alta velocidad de Japón.
  • Mejorar la calidad de vida y medio ambiente a mediante sensores de polución (mejorar la calidad del aire con reducción de emisiones de CO2, del agua, ruido, residuos, espacios públicos, etc.)
  • Mejorar la eficiencia energética en edificios públicos y privados (organizaciones públicas, universidades, escuelas, etc.).
  • Optimizar los recursos destinados a la salud pública: Muchos seguimientos de pacientes podrían realizarse sin que éste acudiera físicamente al centro médico, ayudando de este modo a descongestionar las consultas. Por ejemplo, utilizando sensores que permitan monitorizar la presión arterial y signos vitales de los pacientes, y enviando esta información de forma inalámbrica a los profesionales sanitarios.
  • Gestión eficiente de residuos y reducción de emisiones, contaminantes, etc.
  • Desarrollo de redes inteligentes (Smart grid) que permitan el control del consumo energético, lectura de datos en tiempo real (mediante “Smart meters” o medidores inteligentes), facturación automática y facilitar acceso a los ciudadanos de aquella información que pueda servir para el ahorro, eficiencia y mejora (facilitando el acceso al ciudadano sobre los datos de su consumo energético, permitiendo que los pueda gestionar, visualizar por internet, ver estadísticas sobre su consumo y solicitar cambios de consumos y tarifas; reduciendo el tiempo de solución de averías y reclamaciones)

La información, tal como se ha indicado, no solamente ha de ser accesible y gestionada por las administraciones públicas sino que, es importante mejorar y fortalecer el concepto de “open government” ya que, de otro modo se produciría un desequilibrio antidemocrático pues, muchos de estos datos provienen justamente de los mismos ciudadanos.

 

Cloud Computing y Big Data

cloud_big_data

Por Edgar David Oliva Terán

El comercio en su constante desarrollo encontró una nueva fuente de riqueza en base a materia prima que poco a poco comienza a ser explotada, esta materia a la que me refiero, es la información, todos los gustos e intereses comerciales de los usuarios hoy en día son recolectados por empresas para poder aprender del usuario y así poder dirigir los productos de mayor interés y así transformar a los simples usuarios de internet en potenciales consumidores.

El Big data se entiende como el exorbitante conjunto de datos, cuya cantidad dificulta su procesamiento y gestión para las funciones que desempeñan los softwares tradicionales. Es justamente para ello que se implementan procesos informáticos y humanos especializados para abarcar la cantidad de información recolectada, y de esta manera tratarla en base a la razón social de la empresa que evalúa estos datos.

El conflicto surge exactamente cuándo se ejecutan las herramientas informáticas y humanas para tratar el big data, puesto que en medio de la recolección, gestión del elevado volumen, tomando en cuenta el tiempo que se tarda, y por supuesto en base a la finalidad comercial, la lógica con la cual se manejan las empresas de recolección de grandes datos, se enfocan más en su naturaleza lucrativa pasando de lado normativa o criterios de protección de datos personales.

La mayor fuente de datos que forman el big data, son provenientes de redes sociales, las mismas que para no incurrir en violaciones hacia los datos personales, presentan a los usuarios sus políticas de uso de datos, mediante contratos de adhesión complejos y abusivos en cuanto la cantidad de información que otorgamos con solo deslizarnos. Esos datos recolectados llegan a manos de empresas que tratan con semejante información y estos contratos de adhesión son lo último en lo que se fijan tomando en cuenta todo el volumen que primordialmente debe ser evaluado.

Para evitar este tipo de circunstancias y no tratar datos ilícitamente recolectados, lo propio seria que dentro de uno de los pilares las empresas tengan esa intención y en lo posible la obligación de verificar como se han obtenido estos datos, si han sido otorgados bajo conocimiento de causa y si es que se cumple la finalidad enunciada para la recolección de datos.

Pero el big data no es la única forma de comercio que presenta este tipo de conflictos en cuanto a la recolección de datos, sino que se debe hablar del cloud computing, el cual es el servicio que se ofrece para alojar información en un servidor, cuando una empresa que trata con  big data, no cuenta con la infraestructura necesaria suele adquirir este tipo de servicios para alojar ahí aquella cantidad exorbitante de datos.

El conflicto en este cae vuelve a ser el control o puesta a disposición de un tercero, la información de usuarios que de antemano no se sabe si decidieron poner en conocimiento de estas empresas la información de sus redes sociales por poner un ejemplo.

Vuelve a ser necesario regular inclusive de manera separada pero con el mismo criterio, el control que efectúan las empresas de cloud sobre los datos que están resiviendo de manera masiva.

Seria loable concebir que este tipo de empresas tanto de cloud computing y trata de big data, dirijan esfuerzos en analizar la voluntad de aquellos usuarios a quienes se les está documentado su desplazamiento por la web.

Por lo que es menester que se cuente con mecanismos que permitan conocer a los usuarios de manera precisa cuando se cambien las políticas de privacidad al igual que garantizar el acceso a los Big datos tratados solo al personal cuyo cargo le otorge permiso de acceso, tal como que se notifique al usuario cuando mediante requerimiento judicial se está dando a conocer sus datos recolectados, para generalizar este punto, se debe buscar una transparencia total cuando se traten los datos Big, e incluso cuando estos sean dispuestos a terceros por el servicio de cloud.

 

Big data y publicidad comportamental, una aproximación desde la legislación mexicana

pubkiciad_bigdataPor José Luis Colom Planas y Héctor E. Guzmán Rodríguez

El GT29, a través de su Dictamen 2/2010 sobre publicidad comportamental en línea, la identifica como aquella actividad que “implica la identificación de los usuarios que navegan por internet y la creación gradual de perfiles que después sirven para enviarles publicidad que corresponde a sus intereses.”[1]

Conforme a lo anterior, para este Grupo de Trabajo los siguientes elementos son definitorios de este tipo de publicidad:

  • Permite la identificación de “usuarios” (personas físicas, titulares de datos personales).
  • La identificación de éstos se efectúa a partir de su navegación por internet.
  • Esta identificación permite, a su vez, la creación gradual de perfiles (profiling).
  • La creación de estos perfiles tiene por objeto el envío de publicidad que correspondería “a los intereses” de los usuarios.

Claramente, nos encontramos frente a una actividad especializada que hace uso de Biga Data; sin embargo, cabría analizar si, dentro de esta definición, el interés de los usuarios por recibir este tipo de publicidad constituye en sí mismo un elemento que la defina o si, por el contrario y como puede también deducirse, “el interés” radica en aquellos que generan publicidad comportamental.

Esta observación no pasa inadvertida para el GT29, que “no cuestiona los beneficios económicos que la publicidad comportamental pueda aportar a los que la practican” a la vez que establece claramente que esta práctica “no debe realizarse a expensas de los derechos a la intimidad y a la protección de datos de las personas”.[2] Consideramos que la misma posición debe ser adoptada por la autoridad mexicana y difundida entre responsables y titulares.

Por otro lado, es necesario tomar en cuenta que el uso de medios electrónicos para la definición de perfiles (tecnologías de rastreo) como elemento esencial de este tipo de publicidad, se ha convertido en un elemento diferenciador entre las diversas legislaciones que regulan su uso. Existen aquellas que requieren que el uso de dichas tecnologías sea informado a los usuarios y que éstos puedan aceptarlas de forma previa a su instalación en sus propios equipos, con opción a su rechazo; otras requieren de información previa y obligatoria para los usuarios, que les permita rechazar (a posteriori) la instalación de este tipo de tecnologías. Otras simplemente exigen que se proporcione información a los usuarios, sin que necesariamente deba ser previa o accesible antes de su instalación.

En todo caso, es necesario establecer que México cuenta en su legislación con las disposiciones necesarias para salvaguardar los derechos de los titulares de datos personales que pueden ser objeto de publicidad comportamental, así como su expectativa razonable de privacidad.

Por ello, cabe esperar de todos los actores de esta actividad, que en cumplimiento del principio de responsabilidad previsto por la LFPDPPP (arts. 6 y 14), se respeten y se hagan respetar los principios de protección de datos personales y los derechos de todos los usuarios que son objeto de publicidad comportamental.

Identificamos como esencial el cumplimiento del principio de información, que en relación con las finalidades de mercadotecnia, publicidad y prospección comercial está expresamente regulado por los Lineamientos del Aviso de Privacidad, de forma que aquellos responsables que tratan datos personales para dichas finalidades deben comunicarlo expresamente a los titulares, dando opción a su negativa cuando esta finalidad no resulta necesaria para la relación jurídica existente entre ambas partes.

El uso de tecnologías de rastreo también está expresamente regulado por la normativa mexicana, aunque al día de hoy no se aprecia que la obligación de informar sobre su uso se haya extendido entre los responsables. En este sentido, es necesario recordar que bajo el rubro “Uso de cookies, web beacons u otras tecnologías similares”, los mismos Lineamientos aludidos disponen que “cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, esto último salvo que dichas tecnologías sean necesarias por motivos técnicos.

Por lo anterior, en el contexto de Big Data y la publicidad comportamental, se hace necesario emprender acciones de formación y concienciación sobre el uso de las tecnologías de rastreo que la normativa vigente ya regula, pero que su propia novedad parece alejar de su cumplimiento integral.

En esencia, se considera que la especialidad de actividades de Big Data (como la publicidad comportamental) debe dar lugar a su identificación, estudio y definición de actividades de cumplimiento, para que cada una de ellas se desarrolle con respeto de los derechos fundamentales de las personas, en relación con el tratamiento de sus datos personales y de su privacidad.

[1] Grupo de Trabajo de Protección de Datos del Artículo 29, Dictamen 2/2010 sobre publicidad comportamental en línea, 22 de junio de 2010, p. 3; disponible en:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_es.pdf.

[2] Ibid.

Marco de gobierno de datos en los entornos de Big Data

gob_data

Por Dulcemaría Martínez Ruíz

Introducción

En el presente análisis se realizará un estudio de los principales elementos que las empresas u organizaciones que realizan el tratamiento de datos personales deberían considerar al realizar la incorporación de los elementos que componen el Marco de Gobierno Corporativo.

Es decir, para la protección de los datos personales y tomando en cuenta no solo lo establecido en las legislaciones de cada uno de los países sino también de las mejores prácticas que a nivel empresas se están implementando, se encuentra el modelo conocido como Marco de Gobierno de Datos, por medio del cual la protección de los datos personales se lleva a elementos normativos internos de las organizaciones, como lo son las políticas y procedimientos aplicables a las empresas y a sus empleados.

Big Data

Big Data es un concepto que ha cobrado relevancia desde hace varios, ya que por ejemplo en el 2006 Clive Humby  ya hablaba de que los datos eran “el nuevo petróleo”[1], es así que al igual que el petróleo, los datos han impulsado una nueva visión de derrama económica y técnica, e incluso, se nos presenta como una oportunidad para ayudar a resolver los problemas de nuestra sociedad y nuestro entorno.

Al hablar de Big Data se hace referencia al procesamiento de grandes cantidades de información, disponibles en diferentes formatos y estructuras, información de la cual gran parte está comprendida por los datos que los usuarios de internet generan, ello a través de las redes sociales, blogs, publicaciones en páginas web, mails y toda la información generada por los dispositivos móviles, GPS[2] y a través de cualquier otro dispositivo conectado a Internet.

Ahora bien, al correlacionar y contextualizar toda la información disponible en internet e incluso, al fusionarla con la información de las fuentes de acceso público, se puede interpretar y entender del comportamiento de las personas, tales como, preferencias de vestuario, diversión o alimenticias, segmentando los resultados incluso por zonas, edades u otras características. El análisis anterior por lo general se encuentra enfocado al conocimiento del mercado, preferencias y satisfacción de las necesidades de los usuarios.

Respecto al Big Data también existen algunos obstáculos y dificultades para el procesamiento de la información en las plataformas de Big Data, tales como (i) el que se necesita una gran velocidad  para manipular los datos, debido al volumen de datos manejados y es entonces cuando hablamos de la necesidad de trabajar incluso con súper computadoras para poder realizar el procesamiento de la información; (ii) el que los datos se encuentran disponibles en una gran diversidad de formatos; y (iii) la fiabilidad y confiabilidad de los datos, ya que en ciertos casos incluso es imposible determinar su veracidad.

En la actualidad y sobre todo mediante el uso de las súper computadoras y de modelos como el cómputo en la nube, lo que se está haciendo es procesar esa gran cantidad de datos disponibles en internet, para de ahí extraer parte de información, tal cual rebanadas de un gran pastel, para después enviarlas a los grandes, medianos o pequeños negocios, industrias o gobiernos.

Gobierno de datos

El gobierno de los datos es un “marco de organización que armoniza la estrategia, define objetivos y establece políticas para la información corporativa”[3], el cual engloba la elaboración de un marco normativo al interior de las organizaciones enfocado en la protección y gestión de los datos personales, abarcando por ejemplo la definición de los procesos y políticas internas que reglamenten la gestión de los datos personales.

Una vez definido el modelo de gobierno de datos, será importante el proceso de implementación, capacitación y adaptación, ya que la implementación de dicho modelo no tendrá impacto únicamente en la definición de los procesos y políticas internas, sino que se tendrá que permear a la organización e incluso en su cultura organizacional.

Es por lo anterior que se habla de generar en las organizaciones una estructura de gobierno de datos que entre otros contemple temas como la calidad, ciclo de vida de los datos, seguridad y cumplimiento legal en materia de protección de datos personales, y más aun tratándose de empresas que están en contacto, procesan o generan información mediante Big Data, ya que por los grandes volúmenes de información que manejan una adecuada gestión de los datos es indispensable.

En la legislación mexicana incluso ya se contempla el que los responsables puedan allegarse de estos modelos de gobierno de dato para el cumplimiento de las obligaciones a su cargo, ya que se establece que el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo adecuado para tales fines.[4]

Calidad de los datos

Dentro de las organizaciones y como parte de los puntos de control de las políticas y procesos que se establezcan dentro de los modelos de gobierno de datos, se deberán contemplar los riesgos que implican factores como los registros manuales de los datos, errores humanos, flujo de información entre departamentos, errores en procesos o incluso en los mismos sistemas, ello incluso cuando hablemos de entornos controlados donde las cantidades de datos o el flujo de los mismos sea muy poco.

Pero si este tipo de errores los trasladamos a entornos globales de información como lo es el uso de herramientas de Big Data que utilizan como fuente de información los datos generados o circulantes en plataformas web y dispositivos móviles, los errores se pueden disparar exponencialmente, no solo por los errores que se pueden dar al interior de la organización sino también por lo complicado que es saber si tales datos son confiables o verídicos.

En pro de que el uso de los datos utilizados mediante Big Data sean lo más confiables posibles, existen algunos modelos que ofrecen técnicas para mejorar la calidad de los datos como por ejemplo, el perfilamiento, estandarización, mapeo, categorización o anonimización de los datos.

Al principio la implementación de estos modelos podría ser vista por las empresas como muy costosa, pero en realizad a la larga se convierte en una ventaja, ya que al utilizar las técnicas de Big Data se busca el que los equipos de marketing o ventas puedan realizar por ejemplo campañas dirigidas a sus clientes de una forma más efectiva, pero si partimos del hecho de que muchos de los datos pueden ser falsos, en realidad los esfuerzos empleados no obtendrán resultados certeros.

Por el contrario, si se emplean las suficientes medidas que permitan eliminar datos inexactos, incompletos o no estandarizados, aunque la muestra sea menor el resultado será más exacto. Es decir, al final lo importante no es tener más y más datos personales sino que los mismos sean de calidad.

El velar por la calidad de los datos personales no solo es importante para lograr la satisfacción de las preferencias de los clientes, para eficientar la labor de los departamentos de ventas y de mercadotécnica, o incluso para mejorar el procesamiento de los datos en las áreas de tecnologías de la información, sino que también es importante para el cumplimiento de las disposiciones legales aplicables en materia de protección de datos personales.

Siendo por ejemplo el caso de la legislación mexicana en la materia y la Directiva 95/46/CE, que establecen como obligación para los responsables el dar cumplimiento y garantizar el Principio de Calidad de los Datos Personales, por medio del cual los datos deberán[5]:

(i)     Sean exactos, completos, pertinentes, correctos y actualizados.

(ii)    Si los datos personales son proporcionados por el titular, se presume que se cumple con la calidad en los datos, hasta que se manifieste o acredite lo contrario.

Estableciéndose además el que el responsable adoptará los mecanismos que sean necesarios para cumplir con los dos puntos anteriores, aún y cuando la información no se obtenga directamente del titular.

Es por ello que al ser un problema el que el Big Data no pueda garantizar que los datos sean veraces, que mejor que dentro del modelo de gobierno de datos de las empresas se empleen técnicas que nos ayuden a deputar los datos para quedarnos únicamente con los datos que cumplan con el Principio de Calidad.

Ciclo de vida de los datos

En un modelo de gobierno de datos es elemental el considerar el ciclo de vida de los datos o Livecycle management, ello sobre todo para las organizaciones que procesan datos mediante plataformas de Big Data, ya que como se ha mencionado, los volúmenes de información que procesan son muy grandes.

Dentro del ciclo de vida de los datos se deben considerar tanto aspectos técnicos como el volumen, velocidad y complejidad, así como aspectos legales que tienen que ver con la creación, almacenamiento, tratamiento, transferencia, remisión, archivado definitivo o destrucción de los datos personales, así como las finalidades del tratamiento de dichos datos.

En la legislación mexicana por ejemplo, se establece que los plazos de conservación de los datos personales no deberán exceder de los que sean necesarios para el cumplimiento de las finalidades del tratamiento, ello tomando en cuenta la legislación aplicable en casos especiales como los datos financieros, de salud, contables, fiscales e históricos, los cuales por sus características y particularidades suelen tener plazos de conservación especiales (normas sectoriales).[6]

Seguridad

Como se analizó en el apartado de calidad de los datos, existen diversos riesgos que pueden poner en peligro la seguridad, la confidencialidad e incluso la privacidad de los datos,  es así que la seguridad no solo debe estar contemplada en las plataformas y elementos de las tecnologías de la información y comunicaciones, ya que agentes diversos como el descuido de una persona o por el mal acondicionamiento y seguridad de las instalaciones, también se pueden poner en riesgo los datos personales.

Es por ello que adicional a las medidas de seguridad técnicas, se deben implementar también las administrativas y las físicas, entre las que destacan:

(i)     La capacitación, actualización y concienciación de las personas que intervienen en temas de seguridad y protección de datos al interior de la organización.

Esto se puede realizar mediante programas de capacitación, ya que incluso, al realizar tales capacitaciones de manera periódica se evita el que por cambios o rotación de personal lo impartido quede en el olvido o que las nuevas personas no tengan los conocimientos necesarios.

(ii)    El empleo de técnicas de anonimización[7], mediante las cuales se logra que los datos personales no puedan ser asociados con su titular, es decir, después de aplicar una técnica de anonimización deberá ser irreversible el ligar a un dato con su titular.

Ahora bien, considerando que los procesos de anonimización pueden llegar a ser muy costosos, lo ideal es que se encuentre un balance entre los esfuerzos de anonimización y los costos, y que además se consideren las fuentes de donde se obtuvieron los datos, es decir, los datos obtenidos de fuentes de acceso público no requerirán los mismos estándares que los datos que fueron obtenidos directamente de los titulares, ni tampoco se podrá aplicar la misma técnica a un dato sensible de uno que no lo sea.

En el balance antes referido se debe cuidar el que por ejemplo no se caiga en técnicas de anonimización tan simples como el eliminar parte de los datos de una persona, ya que ello no garantiza el que no va a poder ser identificada, por ejemplo en el caso de los datos genéticos, con un solo dato se puede llegar a identificar a una persona.

(iii)   Se deberá realizar el análisis de brecha que consiste detectar la diferencia entre las medidas de seguridad existentes y las faltantes que resulten necesarias para la protección de los datos personales.[8]

La importancia de este análisis de brecha es no solo se quede en la detección de los elementos faltantes, sino que se realice un plan de trabajo que permita su implementación en la organización, precisamente para subsanar las deficiencias detectadas.

(iv)   Se deberá contemplar el procedimiento y las acciones a realizar en caso de sufrir vulneraciones a la seguridad, para lo cual por ejemplo, en la legislación mexicana en materia de protección de datos personales en posesión de los particulares se establece[9]:

–        Se entiende como vulneración a la seguridad de datos personales la pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o modificación no autorizados.

–        Cuando el responsable detecte vulneraciones de seguridad, informará al titular cuales fueron las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales (Informe sobre Vulneraciones).

–        El informe sobre Vulneraciones se realizará en cuanto se confirme que ocurrió la vulneración y se hayan tomado las acciones para detonar la revisión exhaustiva de la magnitud de la afectación.

Esto con la finalidad de que los titulares afectados puedan tomar las medidas adecuadas para proteger sus datos e información con ellos relacionada.

–        El responsable deberá analizar las medidas que correspondan para que la vulneración detectada no vuelva a ocurrir.

Garantizar la protección de los menores

Los datos personales de los menores de edad deben de tener una protección y tratamientos especiales, es así que las empresas pueden establecer lineamientos en donde se estipule si existe o no la necesidad de recopilar datos de menores de edad, los límites o rangos de edad de los menores respecto de los cuales se recopilen datos, así como los productos y servicios a los que tendrán acceso, lo anterior ayudará a su vez a la definición de las finalidades del tratamiento de los datos.

Una vez definidos los casos en los que será procedente la recopilación de datos de menores de edad, se tomarán medidas para:

(i)     Informar en el Aviso de Privacidad sobre la recopilación de los datos de los menores y sobre las finalidades de su tratamiento.

(ii)    Establecer los mecanismos mediante los cuales los padres o tutores otorgarán su  consentimiento para el tratamiento de los datos personales de los menores de edad, así como para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales, ello también a través de sus padres o tutores.

(iii)   Decidir si es indispensable que los datos personales de menores de edad sean tratados mediante las técnicas de Big Data, y en su caso, establecer medidas como la anonimización o depuración de los datos personales, de manera que no se causen afectaciones a los menores y se utilicen únicamente los datos que sean indispensables.

Transparencia

Entre la información que debe contener el Aviso de Privacidad, se encuentra el dar conocer las finalidades del tratamiento de los datos personales recopilados, lo que en caso de que se realice el procesamiento de información mediante las técnicas de Big Data, tal finalidad también deberá ser informada al titular.

En el Aviso de Privacidad también se informará respecto a las medidas de seguridad físicas, administrativas o técnicas que limiten el uso, acceso o divulgación no autorizada de los datos personales, así como en los casos en los que se realiza el procesamiento de información mediante Big Data se informarán sobre de las técnicas especiales utilizadas, tales la anonimización de los datos.

Siendo importante además que la información contenida en el Aviso de Privacidad y sobre toda la referente a las finalidades del tratamiento y medidas de seguridad utilizadas, sea redactada de una forma clara, sencilla y que se enfoque al tipo, grupo o sector al que van dirigidos los productos o servicios.

En los casos en los que los datos no son obtenidos directamente de su titular, conforme a la legislación mexicana en materia de protección de datos personales se establece la obligación para el responsable de que dé a conocer el Aviso de Privacidad al titular de los mismos, sin embargo, cuando el tratamiento de los datos sea exclusivamente con fines históricos, estadísticos o científicos, no será necesario dar a conocer dicho Aviso a sus titulares.[10]

Derechos de acceso, rectificación, cancelación y oposición (ARCO)

El análisis sobre el ejercicio de los derechos ARCO, lo voy a dividir en dos partes: (i) respecto de los datos personales obtenidos de fuentes de Internet en las cuales cualquier persona tiene acceso, y (ii) respecto de los datos obtenidos directamente de su titular, o cuando se obtienen de manera indirecta pero que es posible localizar al titular.

Sobre en plataformas o sistemas de Big Data alimentadas por datos personales obtenidos de fuentes de Internet accesibles a toda persona, el ejercicio de los derechos ARCO es realmente complicado ya que es complejo o imposible el saber quién es realmente el titular de los datos personales o de conocer si los datos son verdaderos.

Sería mucho más complejo el que el titular del dato identifique que organizaciones utilizaron sus datos personales mediante Big Data, y más aún cuando la información es usada con fines estadísticos.

Respecto de los datos obtenidos directamente de su titular, o de manera indirecta pero cuando es posible localizar al titular, desde el Aviso de Privacidad se deberá dar a conocer al titular de los datos que los mismos serán tratados para el procesamiento de información mediante Big Data, dando oportunidad al titular para otorgar o no su consentimiento.

Una vez obtenido el consentimiento para el tratamiento de los datos mediante Big Data, se deberá establecer el procedimiento y medidas necesarias al interior de la organización para garantizar la atención de los derechos ARCO, ello cuando exista la posibilidad de identificar al titular. Ya que respecto a datos estadísticos o datos cuya disociación se haya realizado de manera previa, no habría posibilidad de identificar a sus titulares.

Accountability o Responsabilidad

Al igual que el resto de las empresas, personas u organizaciones que recopilan, tiene acceso o tratan datos personales, quieres recopilen o procesen información mediante Big Data están obligados al cumplimiento de los principios de protección de datos personales (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad), debiendo cumplir además con las obligaciones que conforme a la legislación les sean aplicables.

Conclusiones

Para dar cumplimiento a las obligaciones en materia de protección de datos personales es importante que las empresas u organizaciones establezcan modelos internos de Gobierno de Datos, con la finalidad de que el cumplimiento de tales obligaciones peerme a cada uno de los empleados, a su estrategia e incluso a los valores organizacionales.

Sobre todo en casos en los que se emplean mecanismos de Big Data para procesar la información, el uso de los Modelos de Gobierno de Datos será de mucha utilidad ya que les permitirá realizar la identificación de los datos personales manejados, las finalidades de su tratamiento, así como la detección de los puntos de control o riesgo en los que se pueden tener violaciones a la seguridad, confidencialidad o protección de los datos, ello sin perderse en la inmensidad de datos procesados mediante Big Data.

Al definir los Modelos de Gobierno de Datos es indispensable que se contemple el hecho de que contar con volúmenes desmesurados de datos personales para el manejo de Big Data no garantiza resultados fiables o incluso, el costo beneficio puede ser desproporcional o excesivo.

Es mejor tener calidad en los datos aunque a muestra a procesar sea menor, pero ello brindará resultados más certeros.

Bibliografía

Baum, D. (s.f.). Información de interés para directores de informática. Recuperado el 05 de julio de 2014, de Oracle:
http://www.oracle.com/es/c-central/cio-solutions/information-matters/importance-of-data/index.html

Consejo, P. E. (24 de octubre de 1995). Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Recuperado el 05 de julio de 2014, de eur-lex.europa.:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:es:HTML

Diputados, C. d. (05 de Julio de 2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Diputados, C. d. (21 de Diciembre de 2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf

Dyché, J., & Nevala, K. (2014). 5 errores del gobierno de datos que conviene evitar. Recuperado el 05 de julio de 2014, de SAS:
http://www.sas.com/offices/europe/spain/sascom/2014/Q1/gobiernodatos.pdf

Fijitsu. (2014). Supercomputers and Big Data: The Next Big Thing. Recuperado el 05 de julio de 2014, de Fujitsu:
http://www.fujitsu.com/global/solutions/business-technology/tc/videos/vawdrey-supercomputer-big-data/

Gerhardt, B., Griffin, K., & Klemann, R. (junio de 2012). Descubrir el valor en el fragmentado mundo del. Recuperado el 05 de julio de 2014, de Descubrir el valor en el fragmentado mundo del:
http://www.cisco.com/web/ES/assets/executives/pdf/Unlocking_Value_in_Big_Data_Analytics.pdf

Mars, R. d. (2012). ¿Misión imposible? Procesos de gobernanza y “big data”. Recuperado el 05 de julio de 2014, de Searchdatacenter.techtarget:
http://searchdatacenter.techtarget.com/es/cronica/Mision-imposible-Procesos-de-gobernacion-y-big-data

Party, A. 2. (10 de abril de 2014). Opinion 05/2014 on Anonymisation Techniques. Recuperado el 05 de julio de 2014, de EC.Europa:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf

Synapsis.IT. (29 de enero de 2014). Recuperado el 05 de julio de 2014, de YouTube:
https://www.youtube.com/watch?v=mqMFMgVnRO8

[1] Gerhardt, B., Griffin, K., & Klemann, R. (junio de 2012). Descubrir el valor en el fragmentado mundo del. Recuperado el 05 de julio de 2014, de Descubrir el valor en el fragmentado mundo del: http://www.cisco.com/web/ES/assets/executives/pdf/Unlocking_Value_in_Big_Data_Analytics.pdf, p.p. 2.

[2] Global Positioning System (Sistema de Posicionamiento Global)

[3] Dyché, J., & Nevala, K. (2014). 5 errores del gobierno de datos que conviene evitar. Recuperado el 05 de julio de 2014, de SAS:
http://www.sas.com/offices/europe/spain/sascom/2014/Q1/gobiernodatos.pdf, p. 1

[4] Artículo 47 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[5] Artículo 36 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[6]Artículos 37, 38 y 39 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[7] Party, A. 2. (10 de abril de 2014). Opinion 05/2014 on Anonymisation Techniques. Recuperado el 05 de julio de 2014, de EC.Europa:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[8] Artículo 61, fracciones V y VI del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[9] Artículos 63, 64, 65 y 66 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[10]Artículo 18 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Big Data en sanidad y su posible impacto en la privacidad

bigadata_sanidad

Por Horacio Gutiérrez Gutiérrez

El aprovechamiento de los grandes volúmenes de información recabados en las instituciones de salud como resultado de la consulta, tratamiento y hospitalización de pacientes para la atención de enfermedades y padecimientos, bajo un esquema de análisis y disociación adecuado, constituye un material aprovechable para el diagnóstico, prevención y desarrollo de medicamentos que permitan asegurar el acceso a los servicios de salud a un mayor volumen de población.

La incorporación de una estrategia de Big Data para administrar los grandes volúmenes de datos estructurados y no estructurados, combinado con la posibilidad de aplicar algoritmos que permitan correlacionar datos provenientes de diferentes fuentes para apoyar la investigación y desarrollo de respuestas que favorezcan un mayor acceso a los servicios de salud, es una de las alternativas ofrecidas por las tecnologías de la información para fortalecer la investigación científica en materia de salud.

En este ensayo se comenta la contribución del Big Data en sanidad y su posible impacto en la privacidad.

Planteamiento

Los avances en la investigación científica relacionada con la salud y bienestar humano ofrecen la posibilidad de contar con nuevos esquemas de tratamiento para atender enfermedades y mitigar sus efectos, esta innovación se fundamenta en gran medida por la capacidad tecnológica disponible para comprender la biología de la enfermedad, que además permita el desarrollo de nuevos medicamentos, diagnósticos y servicios preventivos de sanidad.

Esta visión contrasta con los métodos tradicionales utilizados por las compañías farmacéuticas, que pueden implicar plazos de hasta 10 años para desarrollar e introducir un nuevo producto al mercado.

El esquema considerado para disminuir el proceso de desarrollo e introducción de productos incluye compartir esfuerzos mediante esquemas de alianzas con otras empresas farmacéuticas o con las instituciones de salud administradas por el Estado, para la consolidación de un sistema de sanidad más eficiente que permita trasladar los resultados de la investigación científica en aplicaciones de salud, producto de compartir recursos y conocimientos entre los participantes.

En este contexto se identifica que un recurso valioso para apoyar la investigación científica está referido con la posibilidad de aprovechar la información que se recaba de los pacientes atendidos en el sector salud como parte de una estrategia para obtener conocimiento útil en la detección de enfermedades y su curación.

Las características de la información de salud existentes en los sistemas de información y las condiciones en que se busca su aprovechamiento posicionan a Big Data como una estrategia tecnológica adecuada para los fines de investigación científica, pues satisface las condiciones de las cinco v’s:

  • Volumen. Sin duda los datos de salud son un buen ejemplo de cantidad incremental de información, tanto estructurada como no estructura, y que además se produce por la intervención humana y por el uso de diferentes dispositivos que la recolectan.
  • Velocidad. Como se ha expuesto, el aprovechamiento de la información contenida en los sistemas de salud es una alternativa para disminuir el tiempo dedicado a la investigación y desarrollo de nuevos productos que mitiguen o alivien las enfermedades
  • Variedad. La información de salud tiene además la particularidad de recabarse en diferentes procesos y formatos.
  • Verificación. Por el impacto potencial que representa a la salud general esta cualidad es crítica en su aplicación para fines científicos de sanidad.
  • Valor. El resultado esperado de la aplicación de una estrategia de Big Data es la contribución general al bienestar poblacional en materia de salud.

Si bien las consideraciones anteriores abonan en favor de la aplicación del Big Data, no debe omitirse que la titularidad de los datos contenidos en los sistemas de información de salud pertenece a los pacientes y está sujeta a los principios reconocidos para su tratamiento, incluyendo la condición de excepción de su aprovechamiento por el Estado aduciendo situaciones de salud general y el tratamiento para fines científicos, considerando la aplicación de un proceso de disociación.

Esta necesidad de aprovechar la información en posesión del Estado para fines científicos de salud, puede confluir en conflicto de interés entre la protección del derecho del titular de los datos personales, y el establecimiento de esfuerzos de colaboración con las empresas farmacéuticas para la aplicación del conocimiento científico en la investigación del que se derivarán nuevos productos médicos, cuyo beneficio económico directo recaerá en ellas.

Un segundo riesgo entre privacidad y datos desasociados para fines científicos se tiene entre los datos sensibles que incluyen la información genética de los pacientes y las investigaciones que se realizan en el genoma humano como parte de los avances médico-biológicos, siendo que la consideración de la información genética resulta necesaria para profundizar en el estudio de la biología humana y sus enfermedades, considerando inclusive patrones hereditarios para el desarrollo de tratamientos médicos específicos.

El aprovechamiento colectivo que ofrece una estrategia de Big Data dirigida al sector salud, no limita la consideración del beneficio individual, principalmente en situaciones que hacen necesario que un paciente reciba un trato personalizado, y pueda vincularse electrónicamente con otras fuentes de información para recibir atención médica, realizando intercambio de información con otros prestadores de servicios de salud.

Desde la perspectiva del interés general, es importante salvaguardar el derecho de los titulares a la protección de sus datos personales, para hacerlos accesibles a la colectividad, bajo la tutela del Estado, que en ejercicio de sus obligaciones de proteger los derechos individuales deberá tener la capacidad y habilidad de administrar la información confiada en forma responsable, estableciendo los mecanismos y políticas que aseguren la protección y aprovechamiento responsable de la información contenida en los sistemas de salud, para la investigación científica en el área de salud.

Conclusiones

Considero importante resaltar que el desarrollo de las soluciones tecnológicas asociadas con la estrategia de Big Data, debe visualizar la atención integral en aspectos de sanidad, como es la articulación de las redes de salud (medicamentos, laboratorios, equipos médicos, ambulancias, hospitales y consultorios), además de la colaboración en la automatización de los protocolos para la aplicación de nuevos medicamentos y tratamientos, que deberán incorporarse en el contexto analítico del Big Data.

El rol del Estado en la promoción de la estrategia de Big Data para los servicios de salud deberá tener en cuenta lo siguiente:

  • Promover que la población en general y quienes cuenten con facilidades de movilidad, tengan acceso a la información de los sistemas de salud en forma desagregada sin restricción de lugar, momento y dispositivo.
  • Establecer los procesos que permitan poner a disposición de los ciudadanos los datos de salud que permitan la investigación científica y que además sirvan para mejorar la calidad de los servicios de sanidad ofrecidos a la población.
  • Aprovechamiento de las redes sociales como un nuevo paradigma de atención básica de salud, como un área de oportunidad para la promoción y entrega de servicios de sanidad a la población.

Por último se debe señalar que un papel crítico de las tecnologías de información es asegurar la existencia de un ecosistema de intercambio de información entre Hospitales y centros de salud, además de permitir la incorporación de servicios de telemedicina, la digitalización y transferencia de imágenes, desarrollo de una biblioteca en línea de casos médicos y el monitoreo de las condiciones de los pacientes para su comunicación al personal de salud encargado de su cuidado.

El Internet de las Cosas, la Inseguridad de las Cosas

internet_cosas

Por Lorenzo Martínez Rodríguez

Hay dos tipos de seres humanos. Por un lado, están los conservadores que creen que estar llenos de cables, ondas y señales golpeándonos diariamente, invisibles ante nuestros ojos, es una fuente de problemas, y que prefieren las relaciones humanas y los procedimientos tradicionales, antes que los digitales. Por otro, aquellos que están dándole a F5 constantemente al navegador para estar al día de las últimas tendencias en cuanto a modas y tendencias tecnológicas se refiere.

El punto de inflexión de tener una vida “sana” y pasar a estar conectados a Matrix, está claro que fue el nacimiento del iPhone. Cuando creíamos que Nokia era el “no-va-más” y que claramente dominaría el mundo de la tecnología, llega Apple y hace que tengamos TODO al alcance de nuestra mano: correo, mensajería instantánea, juegos, cámara de fotos de alta definición, GPS,… un sinfín de opciones que nos harán ser adictos de un dispositivo durante el tiempo que su finita batería se mantiene viva, así como de pasar por caja ante la empresa de Cupertino.

Y con Android, estalló la supernova

Dentro del mundo libre, y motivados por lo novedoso del comercial Apple, se gestó una revolución, un sistema operativo basado en Linux independiente del dispositivo, que podrá ser instalado y personalizado, en lo que significó la explosión de Internet móvil. Marcas como Samsung, LG, Sony, HTC,… permiten la conexión de miles de nuevos dispositivos, que ampliarían aún más el universo de posibilidades para la socialización del ciudadano.

Ordenadores de bajo consumo, teléfonos más planos, tablets con pantallas más grandes, electrodomésticos “inteligentes” como cámaras web con sensor de movimiento, alarmas, SmartTVs, aspiradoras robotizadas… elementos  que forman parte de nuestra vida cotidiana, cuyo denominador común es contar con una pila TCP/IP, que les dota de conexión a un ecosistema en el que se sienten vivos mientras interactúan con el Mundo.

Y sin embargo, la tecnología no puede verse frenada. El afán de optimizar potencia reduciendo el espacio, y cuando creíamos que no se podía conectar más cosas, surgen los famosos “wearables”, entre otras, en forma de pulsera, que se encarga de medir parámetros de nuestro cuerpo: sudoración, ritmo cardiaco, calorías consumidas, horas de sueño efectivo,…

¿Quién no ha soñado con ser Michael Knight y hablarle al reloj, y que éste nos responda? La respuesta a este deseo, estará próximamente disponible, implementado por Apple y por diversas marcas de Android.

Dentro de esta caja de gadgets que se pegan a nuestro cuerpo, no podemos dejar de lado aquel por el que todo adicto a la tecnología vendería su alma al diablo: las Google Glass. Unas gafas con un miniordenador basado en Android (pues claro! ¿Qué hay más ‘wearable’ que eso?) que ejecutan aplicaciones e interactúan con Internet (y Google) una vez más…

¡Menudo presente y futuro nos espera! Lleno y cargado de tecnología.

Oye, pero una pregunta. ¿Alguien se ha planteado que en esta orgía de satisfacciones tecnológicas puede tener algún tipo de contrapartida? ¿Por qué cuando se trata de innovación y novedad, la seguridad es lo último que se tiene en cuenta? ¿Y la privacidad de los bípedos conejillos de indias protagonistas de estos experimentos digitales?

Si dividimos la problemática en las dos ramas, veremos que podemos extraer diferentes conclusiones para ambas.

Por un lado, la privacidad del usuario, y sus datos, son envueltos por la niebla provocada por “la nube”. Es decir, cada vez que indicamos nuestros hábitos diarios, de preferencias deportivas, de alimentación, gustos musicales, localización por GPS, horarios diurnos y nocturnos, e incluso interioridades relacionadas con nuestra propia salud e intimidad, estamos regalando, a una o varias empresas, la posibilidad de establecer un perfil, a veces con nombre y apellidos, correspondido con una identidad digital. Tras firmar contratos, de forma obligada si queremos acceder al servicio, muchas veces de decenas de interminables páginas, escritas por especialistas en redactar ambigüedades, en los que de alguna manera le estás cediendo tu actividad, tus fotos o tu vida, a alguien que no conoces personalmente, ¿quién nos dice cuál es la finalidad real de la recopilación y procesamiento de éstos? ¿Es reamente justificable por motivos de seguridad nacional, según el Patriot Act de Estados Unidos, espiar mis latidos cardiacos para saber si mi salud mejora o empeora?

¿Y respecto a las medidas de seguridad implementadas?

Ahora imaginemos en un mundo aún más conectado, en el que los propios protocolos utilizados para compartir información fuesen inseguros, por el propio diseño de los mismos, o debilitados de forma intencionada, también por la presión de los gobiernos. Me estoy refiriendo a los grandes “fallos” descubiertos a lo largo del presente año en implementaciones criptográficas como OpenSSL o GNUTLS, o las confesiones de espionaje desmedido a aquellas empresas suscritas a PRISM. ­

Desde el punto de vista de la tecnología de comunicaciones empleada: podemos hablar de la fragilidad del protocolo Bluetooth (al menos hasta la versión 4.0), en cuanto a las capacidades de intercepción de las comunicaciones de datos se refiere; o de la capacidad para leer y escribir mediante RFID o la inmadurez de la tecnología NFC, empleada para llevar a cabo pagos “touchless”, entre otros.

Con el boom de que todo esté conectado a Internet de forma permanente, con servicios accesibles desde cualquier parte, y dada la escasez de direcciones IP públicas en versión 4, se hace necesario que nuestras lavadoras, frigoríficos o aspiradoras, se modernicen y cuenten con una dirección IPv6… Gracias a ello, todos estos dispositivos estarán además a merced de ser víctimas de un montón de amenazas inherentes al diseño del propio protocolo: Ataques como SLAAC, Neighbour spoofing, así como aquellos basados en DHCP,… pueden llegar a hacer que nos despertemos de nuestro idílico sueño de “Everything Connected” trasnformada en indomable pesadilla.

Si además contamos con que el exploiting de vulnerabilidades en Android es trending topic en la industria del desarrollo de malware, tendremos el escenario ideal para una tormenta perfecta; un cóctel de vientos huracanados que robarán nuestros datos, granizos que agujerearán nuestra privacidad, inundaciones de software troyanizado y relámpagos que mostrarán, a fogonazos, información privada al exterior.

¿Estamos preparados para todo esto? ¿O, una vez más, queda patente que “evolución” y “moda”, viajan en avión mientras que “seguridad” lo hace en tanque?

Cuánta razón tenían los publicistas de la marca Pirelli, cuando idearon el que fue, sin duda, su eslogan más recordado: “La potencia sin control, no sirve de nada”

Aspectos a considerar en relación al Big Data

aspectos_big_data

Por Ramón Miralles López

Las incertidumbres sobre los potenciales impactos negativos que pueda generar el tratamiento masivo de información aconsejan adoptar posturas garantistas, especialmente en relación al derecho a la protección de los datos de carácter personal, la privacidad o la intimidad, pero también respecto de la salvaguarda de otros derechos y libertades, tanto individuales como colectivos, que pudieran verse afectados por el conjunto de actividades que se ocultan bajo el concepto “big data”.

Todo y que el punto de partida sea de una cierta desconfianza y recelo, a priori generada por los propios agentes relacionados con el “big data”, en base a la opacidad con la que llevan a cabo sus actividades, sin duda pueden encontrarse puntos de encuentro entre (1)las necesidades, ya sean públicas o privadas, del tratamiento masivo de la información y (2)las condiciones y límites que necesariamente deben imponerse a ese tipo de tratamientos y a los  usos posteriores.

A título de ejemplo, el estudio “Big Data: aprovechar las oportunidades, preservando los valores”, publicado el 1 de mayo de 2014, por la Casa Blanca, elaborado a petición del presidente Obama, que encargo a sus asesores que elaboraran un informe que dictaminara sobre la manera en que el “big data” podía afectar a la vida las personas, ponen de relieve la preocupación que el “big data” suscita en los poderes públicos; estos  deben tomar partido, y adoptar políticas adecuadas para minimizar los riesgos que puedan derivarse del tratamiento masivo de información.

No hay duda de los potenciales beneficios que para la sociedad en su conjunto pueden derivarse del “big data”, entre ellos su aportación al crecimiento y desarrollo económico, pero hay que estar alertas respecto de los nuevos retos y riesgos que el “big data” puede suponer tanto para la privacidad, como para otros derechos y libertades individuales y colectivos.

En ese sentido, las políticas públicas y las tecnologías, juegan un papel importante en la protección de los derechos y libertades que puedan verse afectados por el tratamiento masivo de información y, especialmente, respecto del uso que se pueda hacer del resultado del procesamiento de esa información.

Las actividades relacionadas con el “big data” no siempre implican el tratamiento de datos de carácter personal, por tanto no siempre se va a dar la componente de impacto sobre la autodeterminación informativa, ahora bien, no debemos perder de vista que la información relacionada con las personas, una vez tratada, es la que puede llegar a aportar más valor a los procesos de negocio, a la investigación científica, o a las necesidades de inteligencia de los estados en tanto garantes de la seguridad pública o para la definición y aplicación de políticas públicas.

Los datos personales pueden estar presentes de dos maneras, una de tipo indirecto, cuando en origen los datos eran de carácter personal, y han sido sometidos a tratamientos de disociación -aparentemente dejan de ser datos personales, pero existe el riesgo de re-identificación-, y por tanto, a priori, los resultados de su tratamiento no aplican a personas concretas identificadas o identificables, o bien de manera directa, cuando el tratamiento “bid data” se lleva a cabo directamente sobre datos personales.

Por tanto podemos afirmar que si bien hay situaciones en que “big data” y privacidad van en paralelo, no es menos cierto que pueden existir abundantes casuísticas en que se crucen, por tanto en que aparezcan puntos de contacto o fricción que hay que gestionar convenientemente.

Des del punto de vista del uso social de la tecnología, en un primer momento esta suele provocar en las personas un estado de cierta “fascinación”, de ahí su rápida adopción, que suele al poco tiempo llevar a una fase de “deslumbramiento”, en el que se producen efectos hasta cierto punto contradictorios, por un lado lo último es siempre es lo mejor, de manera que las tecnologías emergentes son rápidamente adoptadas, pero a la vez se impone el “discurso tecnológico dominante” que gana adeptos de manera continuada, solo por el hecho de ser dominante, sin que como individuos entremos en otras consideraciones o reflexiones respecto de la utilidad o conveniencia de su uso.

Del “deslumbramiento” se pasa a la siguiente etapa, de la más absoluta “ceguera digital”, y es en ese estado en el que emergen los riesgos.

¿Aceptamos una sociedad con un conocimiento filtrado y mediatizado? En definitiva sociedades controladas.

¿Estamos dispuestos a que ciertas las tecnologías limiten el libre desarrollo de la personalidad?

 ¿Solo vamos a atender a los riesgos individuales, dejando de lado a los riesgos colectivos derivados del “big data”?

El uso de “big data” para llevar a cabo predicciones es más que conocido, pero tal vez el futuro nos depara otros usos, por ejemplo el de la inducción o modificación de comportamientos; o acabemos en un escenario donde impere el determinismo del dato, en el que solo el “análisis mecánico” de los datos vaya a mover las decisiones, llevándonos a un “estado totalitario del dato”, en el que decisiones transcendentales que afecten a las personas, de manera colectiva o individual, se vayan a tomar exclusivamente en base al análisis de datos, lo que puede llevar a la aparición de nuevos modos de discriminación en base a esos análisis de información masivos.

Tal vez como rechazo a esos riesgos empecemos a hablar en un futuro no muy lejano de “la objeción de conciencia digital”, es decir, tener la capacidad de oponernos a que nuestros datos sean utilizados, incluso aunque sea de manera anonimizada, pero eso sí, sin renunciar a los beneficios de las tecnologías.

Conviene plantearse la necesidad de regular esas actividades, y antes el escenario descrito pueden adoptarse diferentes posturas des de la perspectiva regulatoria: (1) optar por la postura de que en tanto exista tratamiento de datos personales se aplica la regulación vigente, y cuando no hay dato personal se deja de aplicar, con lo cual nos encontramos en una situación de desregulación del “big data”, con la inseguridad jurídica que ello puede generar para todas las partes, (2) o si bien hay que ampliar el alcance de la regulación de los datos personales a situaciones en que ya no hay datos personales, lo que supondría una excepción más que relevante por lo que respecta al ámbito de aplicación material de la regulación del derecho a la protección de los datos de carácter personal y (3) si tal vez debe de ser una actividad regulada de manera específica, a la que apliquen unos límites, garantías y condiciones propios, en virtud de los riesgos colectivos que puede implicar.

Lo “peligroso” no es el “big data” en sí mismo, si no dejarlo exclusivamente en manos del mercado y sin ninguna regulación.

Una regulación que debería desarrollarse en base a unos principios claros, tales como: (1) el “principio de inocuidad”, por el que los usos del “big data” bajo ninguna circunstancia deben perjudicar ni a los individuos, ni a la humanidad” y que, en todo caso, las excepciones a este principio deben ser establecidas por los legisladores desde una perspectiva restrictiva y garantista, (2) el “principio de objeción”, por el que las personas puedan oponerse, de manera previa o a posteriori, a que su datos sean tratados, incluso de forma anonimizada, y sin que ello les impida usar las tecnologías, (3) el “principio de seguridad”, las actividades de “big data” deben estar especialmente protegidas, a fin de evitar incidentes accidentales o malintencionados que pongan en riesgo a la información, (4) el “principio de respeto al libre desarrollo de la personalidad”, deben prohibirse usos del “big data” que impliquen la modificación de comportamientos y el determinismo del dato, (5) el “principio de responsabilidad”, por el que en todo momento debe poder atribuirse una determinada actividad de “big data” a una persona física o jurídica y, en su caso, exigirle responsabilidades, y (6) el “principio de transparencia”, por el que deben articularse mecanismos que permitan que las personas afectadas sean conocedoras del uso que se hace de sus datos.