Archivo de la etiqueta: datos personales

La privacidad en la era del Big Data

La nueva economía digital se enmarca en una era en la que mucha gente piensa que lo que hacemos en Internet, lo que usamos, en muchas ocasiones, es gratis. Los economistas suelen decir eso de que «nada es gratis«. Obviamente, algo o alguien tiene que pagar los servicios y productos que consumimos. Y esos, son los datos.

Hace unos años, comprábamos un GPS que nos costaba entre 200 y 300 € (mínimo). Hoy en día tenemos Google Maps y Waze. No nos cuesta nada poder usarlo, salvo la conexión a Internet… y los datos personales de por dónde nos desplazamos que es lo que les cedemos a cambio. No sé si alguna vez han probado a introducir en su navegador maps.google.com/locationhistory. A mí me sale esto (fijaros que incluso infiere donde trabajo y donde resido, que es el área que he difuminado):

Historial de localizaciones en Google Maps (Fuente: elaboración propia a partir de Google Maps)
Historial de localizaciones en Google Maps (Fuente: elaboración propia a partir de Google Maps)

Esto no es exclusivo de Google. Prueben en su dispositivo móvil. Por ejemplo, los que tienen un iPhone. Vayan en Ajustes, a Privacidad, luego a Servicios de Localización, y abajo del todo, les aparecerá un menú titulado «Servicios del sistema«. Miren cuántas cosas salen ahí… incluso el menú «Localizaciones frecuentes«.

Estos datos se los cedemos a cambio de un servicio, que, no me negarán, es bastante útil, nos ofrece una funcionalidad mejorada. Pero, también, en muchas ocasiones, se lo venden a terceros. Y puede entenderse; al final, de una manera más o menos clara, ya sabemos que Google lo hará, y además, deberá monetizar la gigantesca inversión que hacen para que podamos usar Google Maps apropiadamente.

¿Es esto bueno o malo? Responder esta pregunta siempre es complicado. Por eso a mí me gusta más responder en clave de costes y beneficios. Nada es gratis, como decía antes. Para obtener un determinado beneficio, tenemos que asumir un coste. Si el beneficio no compensa el coste que nos genera ceder los datos históricos de localización, entonces es un servicio que no debiéramos tener activado. Siempre se puede desactivar o comprar servicios de «anonimización» como www.anonymizer.com, que por menos de 100 dólares al año, nos permite anonimizar nuestro uso de servicios.

El caso del FBI vs. Apple ha abierto una nueva discusión en torno a la protección de la privacidad. Un dilema ético difícil de dirimir. ¿Tiene una empresa privada -Apple- que dar los datos de un usuario porque el interés público general -FBI- así lo requiere para la seguridad de los ciudadanos? Apple, de hecho, antepone la seguridad de sus usuarios, como si fuera un país más defendiendo sus intereses (con el tamaño que tiene, literalmente, como «si fuera un país»).

Este tipo de situaciones nos ha solido llevar a la creencia que el «Gran Hermano» de los gobiernos era un problema que no podíamos dejar crecer. Sin embargo, no sé si estoy muy de acuerdo con esta visión de que el «Gran Hermano» son los gobiernos. Me parece que incluso en muchos casos son proyectos «Small Data«. En la mayoría de los casos, los gobiernos, los ministerios del interio, no se fijan más que en metadatos en muchos casos de unos usuarios concretos, los que guardan una mayor probabilidad de cometer algún delito, por ejemplo. Como suelo contar cuando me preguntan por ello: «No creo que Obama tenga tiempo de leer mis documentos en Google Drive«.

El «Big Data» y donde realmente sí tienen muchos datos nuestros, es en el mundo de la empresa. En esta era digital donde dejamos traza de todo lo que hacemos (búsquedas, compras, conducciones, lecturas, etc.), alguien guarda y emplea esos datos. Y suelen ser empresas privadas. Y esto sí que debe ser de preocupación por todos nosotros. Y sí que debe ser algo que desde los gobiernos debiera «controlarse». O por lo menos, certificar su buen tratamiento. 

Sin embargo, tengo la sensación la gente ignora que esto es así. En un paper de 2013 de los economistas Savage y Waldman titulado «The Value of Online Privacy«, sugerían que los humanos estamos dispuestos a pagar porque nuestros datos no sean recopilados por las apps. Es decir, lo decimos, pero luego no nos preocupamos por ello. ¿Pereza? ¿Dificultad? ¿Ignorancia? Por otro lado, nos contradecimos. En el paper «The value of privacy in Web search«, solo el 16% de los que participaron en la encuestas estarían dispuestos a pagar porque su navegación en la web fuera totalmente privada. En un reciente paper de dos investigadores de la Universidad de Chicago titulado «Is Privacy Policy Language Irrelevant to Consumers?«,  aparece como solo una pequeña fracción de usuarios está dispuesta a pagar 15 dólares para detener la invasión de privacidad.

Todo esto, como ven, está generando muchas interrogantes y dilemas no siempre fáciles de responder. Esta nueva economía digital en la que pagamos con datos personales el uso de productos y servicios, ha hecho que los gobiernos -quizás tarde- comiencen a regular algunas cuestiones. La FCC -Federal Communications Commission o Comisión Federal de Comunicaciones-, ha estado trabajando hasta estos días en nuevas reglas que pone pequeños obstáculos a este uso de datos. Si bien solo aplica a las compañías de telecomunicaciones, no a las de Internet.

Entiendo que veremos muchos casos de demandas una vez que la gente comience a darse cuenta de muchas de estas cuestiones. Es solo cuestión de que como en los papers que antes comentábamos, la gente se vaya dando cuenta de ello, y lo considere un derecho fundamental. Ahí, y sin pagos por medio, entiendo que las personas sí que se mostrarían más conservadoras y garantes de su privacidad a la hora de ceder sus datos. Ya estamos viendo casos. Uno en el que se demandaba a Google por la lectura de emails que hace con Gmail (hubiera expuesto a Google a una multa de 9 billones de dólares), el software de reconocimiento facial que emplea Facebook y otros, que al parecer atentan contra las leyes estatales de Illinois. A sabiendas que la ley castiga con 5.000 dólares por violación de la privacidad, podría Facebook que tener que hacer frente a 30.000 millones de dólares de multa.

En esta economía digital, nuestra privacidad, los datos que generamos en el día a día son la nueva divisa. ¿Somos conscientes de ello? ¿Pagaríamos porque dejara de ser así? ¿El beneficio compensa el coste? Cuestiones interesantes que en los próximos años generarán casos y sentencias. La privacidad, otro elemento más que en la era del Big Data se ve alterado.

Nueva propuesta de reglamento Europeo: pon un Data Protection Officer en tu empresa

Recientemente, mi compañero Iñaki Pariente, nos ilustraba sobre la importancia de la componente jurídica en todo proyecto de Big Data. Estos días, en el Parlamento Europeo, se está produciendo mucha actividad en torno a todo ello. Concretamente, están trabajando una Propuesta de Reglamento General de Protección de Datos, del Parlamento Europeo y del Consejo.

El núcleo de lo que se está tratanto es la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos. En adelante, a efectos de simplificación, me referiré a ello como Reglamento General de Protección de Datos (RGPD).

La legislación vigente en la Unión Europea en materia de protección de datos es la Directiva 95/46/CE. Esta fue adoptada en 1995 con un doble objetivo: defender el derecho fundamental sobre la protección de datos y garantizar la libre circulación de estos datos entre los Estados miembros (en una época en que la libre circulación de capitales, personas y bienes era algo del día a día). Se complementó posteriormente mediante la Decisión Marco 2008/977/JAI, como instrumento general a escala de la Unión Europea para la protección de datos personales tratados en contextos de cooperación policial y judicial.

Y ahora pasamos a 2015. La rapidez con que la evolución digital está cambiando muchos de los planos de nuestra sociedad y nuestra economía,  ha supuestos nuevos retos en lo que a la protección de datos personales se refiere. Ahora, el volumen de datos es mucho mayor, permitiendo que tanto empresas privadas como entidades públicas pueden aprovecharlos. Además, las personas físicas, generan y difunden un volumen de datos nunca visto hasta la fecha.

A la par, los legisladores se dan cuenta que para poder desarrollar una sociedad realmente digital y un Mercado Único Digital (también debatido e impulsado hace unos meses en la Comisión Europea), es fundamental generar confianza en entornos online. Si la confianza no existe, las personas no nos veremos tan implicados en comprar online o a relacionarnos con la administración a través de Internet. La protección de datos personales desempeña, por tanto, una función esencial en la Agenda Digital para Europa y más concretamente en la Estrategia Europa 2020 para el crecimiento y la competitividad.

Esta nuevo reglamento de protección de datos, afectará a muchas personas e instituciones. Si tienes una empresa o aspiras a trabajar en una radicada en Europa o que haga negocios en Europa, tienes más de 250 trabajadores o tu núcleo de negocio se centra en el procesamiento de datos (que cada vez son más las empresas en ello), tu empresa tendrá, bajo propuesta de dicho Reglamento que contratar un Data Protection Officer (DPO en adelante).

Eso de «centrarse en el procesamiento de datos«, que resulta ciertamente ambiguo, por lo que he podido leer se refiere a «tratamientos de datos masivos, que afecten a centenares de miles o millones de usuarios y que se mantengan periódicamente actualizados como la elaboración de perfiles de clientes o en el mundo de marketing«. Por lo tanto, creo que no son pocas las empresas que quedarán afectadas por ello.

¿Y qué es esto del DPO y en qué medida me afectaría? Este perfil tendrá que encargarse de tareas mucho más extensas que las atribuidas al responsable de seguridad, figura regulada en el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de España (que data de 1999). Este último, actualmente se encarga de «coordinar y controlar las medidas de seguridad«. Pero, el DPO tendrá una función no solo de seguridad, sino con una mirada hacia dentro de la organización y hacia fuera:

  • Dentro de la empresa: informar y asesorar a todos los trabajadores de la organización en lo que a sus obligaciones con respecto a la normativa de protección de datos se refiere. Además, deberá elaborar los protocolos de asignación de responsabilidades y educación en esta materia, y velar por su cumplimiento. Por lo tanto, amplía sus funciones en esta materia.
  • Fuera de la empresa: será el encargado de responder a las solicitudes de información de la autoridad de control -la Agencia Española de Protección de Datos (AEPD) o equivalentes en Comunidades Autónomas- y cooperar con ellao para cualquier solicitud.

Este proceso de «blindaje» será tan exigente que hará que las empresas tengan que publicar los datos de contacto de sus Data Protection Officer, así como comunicárselo a la autoridad de control. Esto hará un ejercicio de transparencia y accountability que emana la importancia que adquiere. Es más, el proyecto de reglamento determina que no podrá ser despedido o sancionado mientras ejerza y ejecute sus tareas (artículo 36.3), ni tampoco encontrar injerencias o instrucciones en el ejercicio de sus tareas. Dada la naturaleza del desempeño de sus funciones, está obligado a guardar secreto y confidencialidad. Y, aunque puede, dentro del organigrama de trabajo, tener asignadas otras funciones o tareas, éstas no pueden dar lugar a un conflicto de intereses.

¿Y qué pasa si no cumplo este reglamento? Las multas por no cumplir reglamentos Europeos son importantes; hasta un 2% de los Ingresos de la organización o 100 millones por cada infracción. Esto invita a la cooperación y complicidad por parte de las instituciones.

Como ven, la reglamentación para la protección de datos personales vuelve a endurecerse y hacer que Europa, siga fiel a su estilo de garantzar los derechos fundamentales de sus ciudadanos. Entenderán así, que  la protección de datos quedó excluida de las negociaciones sobre el crucial tratado de Asociación Transatlántica de Comercio e Inversión que negocian la Unión Europea y Estados Unidos.  Otro tema que traerá largas reflexiones. Y ahí veremos el papel del Data Protection Officer como eje clave en las organizaciones.

El Data Protection Officer (Fuente: http://www.computing.co.uk/ctg/feature/2306122/rise-of-the-data-protection-officer)
El Data Protection Officer (Fuente: http://www.computing.co.uk/ctg/feature/2306122/rise-of-the-data-protection-officer)