Masters y MBA online y a distancia

Big Data y privacidad: Principales riesgos asociados

Big Data y privacidad: Principales riesgos asociados

Como en la mayoría de los casos en los que se utilizan tecnologías de la información, este no se encuentra exento de determinados riesgos.

En el caso del Big Data, los principales riesgos que pueden derivarse de su utilización son los siguientes:

  1. Riesgo de automatizar plenamente procesos, sin que exista una revisión y validación por parte de humanos.
  2. Riesgo para las personas de tomar decisiones automatizadas sin un sesgo humano.
  3. Riesgo para la privacidad, intimidad y protección de datos de las personas.

La normativa de protección de datos se aplica cuando la información de las personas físicas hace que estas sean identificadas o identificables. Sensu contrario, cuando los datos no hacen identificable a una persona, no se aplica esta regulación. Es decir, cuando los datos se hacen anónimos a través de técnicas de anonimización, se convierten en datos no personales, y la privacidad de los individuos queda protegida, de modo que no es necesario aplicar ninguna norma sobre protección de datos.

Junto con la anonimización, nuestra norma trata, además, de lo que denomina el proceso de disociación, que permite crear datos pseudónimos, una categoría de datos que, sin ser anónimos, tienen más garantías para la privacidad que los datos puramente personales.

Precisamente mediante la aplicación de técnicas de Big Data es posible, a partir de datos que no permiten la identificación de los titulares (considerados, por tanto, datos anónimos), lograr la identificación de un usuario. Es decir, con la llegada del Big Data los paradigmas que se encontraban comúnmente aceptados hasta el momento se ven puestos en entredicho. Sin duda alguna, este es uno de los principales retos y riesgos que el Big Data supone para la protección de datos personales y de la intimidad personal.

En conclusión, el Big Data amenaza la normativa de protección de datos, debido a diversos motivos:

  1. Primero. Sin perjuicio de que la normativa de protección de datos fuera una normativa avanzada a su tiempo, en estos momentos es una normativa que no se encuentra totalmente adaptada a los retos que las tecnologías de la información están suponiendo.
  2. Segundo. El Big Data supone un tratamiento masivo de cantidades ingentes de información obtenida, en su gran mayoría, de forma absolutamente legal, es decir, basada en un consentimiento debidamente informado, así como dando cumplimiento al principio de calidad, en tanto las finalidades con las que son obtenidos dichos datos incluyen incluso el tratamiento mediante técnicas de Big Data. Es decir, son los propios usuarios los que facilitan la información sin ningún tipo de problema, normalmente a cambio de poder utilizar gratuitamente servicios de la sociedad de la información, juegos sociales, etc.
  3. Tercero. El concepto de anonimización de datos es un concepto obsoleto, en tanto mediante las técnicas adecuadas de Big Data es posible lograr identificar a personas específicas y concretas partiendo de información que supuestamente ha sido totalmente anonimizada.
  4. Cuarto. La información facilitada por parte de la mayoría de servicios de la sociedad de la información no es lo suficientemente clara para que los titulares de los datos conozcan exactamente qué se va a hacer con sus datos, con qué finalidades y mediante qué técnicas, de forma que cualquier usuario medio sea capaz de entender y en su caso asumir conscientemente los efectos que este tipo de tratamientos puede tener.

En este sentido, unas condiciones del servicio ideales pondrían a disposición de los usuarios una auténtica y verdadera libertad de elección sobre la base de una comprensión suficiente de lo que implica tomar una decisión u otra, de lo que implica consentir o no un determinado tipo de tratamiento de datos.

Para ello, no son pocos (incluyendo la legislación y la normativa publicada por las autoridades comunitarias en materia de protección de consumidores y usuarios y protección de la privacidad) los que abogan por la utilización de un lenguaje sencillo, políticas fáciles de comprender y casillas o ventanillas fáciles de identificar en las que los usuarios puedan indicar su consentimiento.

Sin embargo, en el entorno actual de complejos flujos de datos y actores con intereses diferentes se ha desencadenado lo que Solon Baroccas y Helen Nissebaum han denominado “la paradoja de la transparencia”, en el sentido de que la simplicidad y la claridad conllevan, de forma inevitable, una pérdida de precisión en la información

  1. Quinto. Toda la normativa de protección de datos se fundamenta en el principio del consentimiento. Es decir, si el titular de los datos ha prestado su consentimiento y este se obtiene conforme a los requisitos establecidos normativamente, el responsable del fichero podrá realizar el tratamiento de los datos.

Teniendo en cuenta que la mayoría de datos e informaciones obtenidos de forma independiente a través de servicios de la sociedad de la información son obtenidos mediante la simple aceptación de unos términos y condiciones y que los mismos, en la mayoría de casos, o no se leen o no se comprenden las verdaderas implicaciones asociadas a su tratamiento, el consentimiento realmente queda vacío de contenido en muchos casos.

  1. Sexto. Existe la posibilidad de que los datos analizados por medio de los algoritmos no sean precisos o veraces, pero los individuos no tienen incentivos para corregirlos porque no son conscientes de que están siendo utilizados para tomar decisiones que les afectan.

Medidas para garantizar una adecuada protección de derechos en la utilización del Big Data

Sin duda alguna, las dos principales herramientas que deben tenerse en consideración para lograr una adecuada protección de los derechos de los usuarios son la utilización adecuada de los principios de información y de consentimiento antes de iniciar cualquier tipo de tratamiento de datos mediante técnicas de Big Data.

Deber de información

Particularmente, en relación con el principio de información debe tenerse en consideración que dicha información debe ser previa a la obtención del consentimiento prestado por parte del titular de los datos. Esto implica que toda la información necesaria debe suministrarse en el momento en que se solicita el consentimiento, de forma clara y comprensible, y debe abarcar todas las cuestiones pertinentes. En principio, debe abarcar las informaciones enumeradas en el artículo 10 de la Directiva, pero también depende del momento y las circunstancias en que se solicite el consentimiento.

El consentimiento como manifestación de voluntad informada es especialmente importante en el contexto de las transmisiones de datos personales a terceros países, en la medida en que exige que el interesado esté informado acerca del riesgo de que sus datos se transfieran un país que carece de la protección adecuada. En concreto, en España, la información que debe prestarse para obtener el consentimiento del interesado debe cumplir con los estrictos requisitos del artículo 5 de la LOPD.

Entre estos, se exige que se facilite información “de modo expreso, preciso e inequívoco” sobre la misma existencia del fichero y su finalidad (lo cual vuelve a resaltar las limitaciones que esto crea en el ámbito del Big Data, donde en muchas ocasiones no se conoce la finalidad del tratamiento de antemano); sobre el carácter obligatorio o facultativo de dar la información que se pide; de la posibilidad de ejercitar los denominados derechos ARCO (acceso, rectificación cancelación y oposición); y de la identidad del responsable del tratamiento de los datos.

La información prestada debe hacer especial hincapié en aquellos casos en los que la entidad se plantee la utilización de técnicas de Big Data y garantizar en todo momento que se informe específicamente respecto al tipo de tratamientos que serán realizados, haciendo referencia concreta a que van a ser utilizadas técnicas de Big Data, especificando qué tipo de técnicas serán empleadas, así como informando de forma clara y exacta de cuáles son los efectos de dicho tratamiento y cuál es la información y tratamientos derivados que se realizarán sobre dicha información.

Por todo ello, los deberes de información deben referirse no solo al hecho de que se recaben datos primarios, sino también a la información que se puede extraer de un análisis sofisticado de estos, incluyendo la información que pueda extraerse de la agregación de datos que recaba la empresa con datos provenientes de otras fuentes y ficheros.

Obtención del consentimiento

Para que el consentimiento sea válido, tal y como se ha analizado con antelación, es necesario que el titular de los datos personales tenga capacidad de elegir una opción real, sin que exista riesgo de engaño o de que el consentimiento se encuentre viciado.

El consentimiento debe ser específico, habiéndose explicado previamente las razones de este extremo. Sin embargo, en el caso del uso de técnicas de Big Data, se hace necesario que, en conjunto con el cumplimiento del principio de información, se obtenga un consentimiento específico sobre los tipos de tratamiento, así como sobre los efectos que se van a producir, incluidas, si es el caso, la tipología de datos que podrían derivarse de este tipo de tratamiento.

Sin duda alguna se trata del principal reto del Big Data para dar cumplimiento a la normativa de protección de datos, en tanto que, como se ha indicado con anterioridad, por su propia naturaleza el valor del Big Data reside precisamente en lo inesperado de los resultados que revela.

Así, ¿cómo explica el responsable del tratamiento que resulta imposible saber con antelación qué información revelará el tratamiento de los datos recabados? Son muchos los autores que consideran que el consentimiento prestado bajo estas circunstancias no es el consentimiento informado que la ley exige.

Cloud computing y protección de datos

Tal y como la propia Agencia Española de Protección de Datos declara en su “Guía para clientes que contraten servicios de Computing” que ha sido tomada como referencia para el desarrollo del presente apartado, el Cloud Computing o computación en nube es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública.

El modelo de provisión de tecnología bajo cloud o como servicio (bajo demanda) garantiza a los usuarios una eficiente optimización de la asignación de recursos y los costes asociados a los mismos, en tanto única y exclusivamente se paga (en caso de tener coste el servicio) por el uso que se realice del servicio.

En función de la modalidad de cloud que se utilice por parte del usuario es posible que los datos personales no se encuentren bajo el control exclusivo del proveedor del servicio (encargado de tratamiento), sino que gran parte del servicio se encuentre bajo el control de un tercero, encargado de proveer habitualmente los servidores y la infraestructura física para alojar la información, así como las redes y conectividad necesarias para que los servicios cloud sean efectivamente prestados.

 

Valora este artículo del blog:
El turismo rural en la actualidad
Política de distribución internacional
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Lunes, 09 Diciembre 2019

ESCUELA INTERNACIONAL

Proyección Internacional, con alumnos y antiguos alumnos residentes en más de 38 países y sedes en América Latina

AYUDAS DIRECTAS AL ESTUDIO

Plan Internacional de Ayudas Global Learning con una dotación anual superior al millón de euros repartidas entre 1.000 alumnos

PROFESORADO UNIVERSITARIO Y DIRECTIVO

Contamos con un claustro de profesores de alto nivel académico y directivo, con más de 15 años de experiencia docente y profesional
CEUPE - Centro Europeo de Postgrado y Empresa