Big data y medidas de seguridad en protección de datos
“Ya no estamos en la era de la información. Estamos en la era de la gestión de la información.” (Chris Hardwick)
Es frecuente encontrarnos con expresiones del tipo “los datos son el nuevo petróleo” o “los datos son el nuevo oro” o “la información es poder”; lo que se busca con este tipo de expresiones es de forma más o menos figurada alertar del valor que la información representa para las empresas y los negocios en la actualidad.
Ahora bien, lo que hace apetecible la recolección de una gran cantidad de datos en tiempo real es la posibilidad de extraer información precisa sobre grupos de personas o individuos, pudiendo utilizarla para prácticamente en cualquier ámbito de la vida y con los más variados fines.
Esto genera todo tipo de interrogantes con relación a la afectación de la privacidad y la libertad de las personas ya que la posibilidad de analizar e interpretar prácticamente en tiempo real una masa gigantesca de datos posibilita realizar predicciones comportamentales con precisión, lo que genera la sensación de que estamos predestinados a actuar de determinada manera antes de que ni siquiera lo sepamos.
Entremezclar procesos de big data y protección de datos, hace que debamos plantearnos que riesgos supone para la privacidad y cuáles son las medidas de protección que se pueden adoptar que permitan un equilibrio entre el respeto a los derechos de las personas y la competitividad y eficiencia de los mercados.
El procesamiento a gran escala y velocidad de datos muy variados presenta riesgos para la privacidad y por ello es necesario adoptar medidas de seguridad en big data.
¿Qué se entiende por big data?
Podemos definir el big data como un conjunto o ecosistema de herramientas diseñado para resolver problemas relacionados con el tratamiento de datos.
Se trata de información de gran volumen y variedad obtenida a una gran velocidad que require de nuevas formas de procesamiento que permitan optimizar procesos de obtención de nueva información y toma de decisiones casi instantáneas.
El big data afecta la capacidad de las empresas para valorar los datos con los que cuentan; significa un cambio de modelo de negocio.
El análisis e interpretación de una gran ingesta de datos variados a gran velocidad si bien tiene beneficios, acarrea igualmente ciertos riesgos a los que debe prestárseles especial atención:
i) el obtener conclusiones erróneas que no son revisadas;
ii) la ejecución de decisiones automatizadas sin la intervención humana;
iii) la posible y especial vulneración a la privacidad de las personas.
El riesgo respecto a la privacidad de las personas se puede ver patente en la elaboración de perfiles personalizados y en la previsión de comportamientos futuros, como en la posible manipulación de hábitos de consumo.
Actualmente existe una gran variedad de modalidades para la recolección y el tratamiento de grandes cantidades de datos de forma veloz, podemos mencionar entre otros: identificadores por radiofrecuencia (RFID) – los podemos encontrar en las prendas e indican entre otros datos la ubicación -, las redes sociales, los sensores físicos, los dispositivos móviles, etc.
Pues bien, big data y protección de datos deben conjugarse de forma tal que los beneficios que presenta el primero no afecte los derechos que protege el segundo.
Consentimiento y deber de transparencia en big data
El consentimiento informado tiene una especial relevancia a la hora de ejercitar el derecho a la protección de los datos ya que posibilita un mayor control de estos por parte de los interesados y cuando no es posible la disociación de los datos es el medio más utilizado para cumplir con el principio de licitud y transparencia.
Ahora bien, en el entorno del big data el medio y el mecanismo para informar y notificar el consentimiento informado presentan ciertos retos que pueden significar un riesgo para la privacidad de las personas.
Uno de los aspectos más destacables con relación al big data y protección de datos respecto al consentimiento informado se da sobre la diferenciación entre los datos primarios y secundarios.
Cotidianamente se almacenan datos que podemos considerar secundarios, tales como: abrir o ingresar en una red social, realizar compras web, descargar aplicaciones, visualizar determinado contenido, asociarse a determinadas paginas o newsletters, etc.
Las mencionadas actividades generan un cumulo de información respecto de las personas a través de los denominados datos secundarios, que con su posterior tratamiento posibilita la obtención de nuevos datos e información, para cuyo tratamiento se requiere del consentimiento del interesado.
A su vez, la cadena de comunicación de los datos entre emisores y receptores dificulta aún más la gestión del consentimiento informado.
Los datos secundarios al analizárselos e interpretárselos, como así también la agregación de los datos recabados por el responsable con los que provienen de otras fuentes generan nuevos datos e información. Pues bien, ello requiere de la obtención del consentimiento o mínimamente del cumplimiento del deber de informar dependiendo el caso. Ahora bien, la dificultad de prever la información que se obtendrá de la agregación de datos o del análisis de datos secundarios dificulta conocer de antemano los datos que se trataran y en algún punto con que finalidad, lo que plantea un reto a la hora de obtener el consentimiento informado.
De lo indicado podemos concluir los riesgos para la privacidad que produce la obtención de datos aplicando procedimientos de big data.
Para limitar los riesgos que se pueden generar, sin dejar de vista la afectación que puede significar para la competencia, existen procesos que permiten proteger la privacidad de las personas, entre ellos se destaca la anonimización de datos a la que nos referiremos en el apartado siguiente.
Anonimización y Seudonimización de datos
La anonimización de datos ha sido conceptualizada por la AEPD como “la ruptura de la cadena de identificación de las personas”
Es decir, a través de la técnica de anonimización se genera la ruptura definitiva e irreversible entre los datos personales que se tratan con los datos identificativos de su titular, por lo que dejarían de considerarse datos personales ya que no identifican o pueden identificar a persona determinada.
El efecto jurídico principal que produce la anonimización es l dejar el tratamiento de los datos anonimizados fuera del ámbito de la regulación de protección de datos (RGPDD y LOPDGDD). En tal sentido ya no habría fricciones entre big data y protección de datos dado que no estaríamos hablando de datos personales.
Pues bien, queda preguntarnos cuando se puede considerar que los datos han alcanzado el umbral de la anonimización.
El Grupo de Trabajo del Art. 29 menciona en su dictamen dos métodos para determinar si un tratamiento se puede considerar anonimizado.
Por un lado, recomienda realizar un análisis sobre el riesgo de reidentificación de los datos.
Por otro lado, establece tres elementos que no deben presentarse en un tratamiento de datos anonimizados:
- – Singularización de un individuo (Singling out): se refiere a la capacidad de poder aislar alguno o todos los datos de un individuo dentro de un mismo tratamiento.
- – Asociación de datos (Linkability): se refiere a la capacidad de asociar al menos dos datos pertenecientes a una mismo individuo o grupo de personas sea se trate del mismo tratamiento o de tratamientos distintos.
- – Inferencia de nuevos datos (Inference): se refiere a la posibilidad de inferir a partir de los datos supuestamente anonimizados con una alta probabilidad un nuevo dato de uno de los individuos.
Por su parte la seudonimización es definida en el RGPD como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”
En este caso no se suprime el vinculo entre los datos personales y los identificativos del individuo, sino que se tratan de forma separada utilizando las medidas técnicas y organizativas que garanticen no se pueda determinar de quien son los datos.
Esta técnica a diferencia de la de anonimización permite la reidentificación de los datos.
La seudonimización puede alcanzarse a través de asignarle a los datos identificativos códigos o identificadores numéricos aleatorios o mediante técnicas de codificación (claves).
A los tratamientos seudonimizados se les aplica el RGPD y, por ende, la LOPDGDD. La finalidad de esta técnica es proteger la información adicional del interesado.
Conclusiones
De lo antedicho podemos observar que el juego entre big data y protección de datos presentan diferentes aristas cuando se trata de identificar el mejor medio de proteger los derechos de los interesados frente a los intereses de las empresas y el mercado.
Si se aplican técnicas de anonimización y en menor medida técnicas de seudonimización se robustece la protección de la privacidad y de los datos de los interesados, pero se dificulta la competitividad de las empresas y la eficacia del mercado.
Por otro lado, la exigencia del consentimiento y del cumplimiento del deber de informar puede no ser suficiente para proteger la privacidad y los datos de los interesados debido a que el gran flujo de datos secundarios y/o agregados obtenidos del uso del big data dificultaría el control por los interesados de sus datos. En este supuesto los derechos de los individuos podrían quedar relegados mientras que se ampliaría la competitividad de las empresas.
Contacte con Grupo Adaptalia para consultarnos cualquier duda al respecto.
