NUEVOS RETOS: BIG DATA

12 febrero, 2020 por Govertis Blog, ITLaw 0 comentarios

NUEVOS RETOS: BIG DATA

Es de conocimiento general que la situación actual ante la que nos encontramos está caracterizada por una sociedad cada vez más conectada, donde podemos encontrar el uso de la tecnología en cualquier ámbito de nuestra vida privada o laboral. Este tipo de prácticas, si echamos la vista atrás, podían parecernos ciencia ficción hace simplemente un par de décadas. Pues bien, ¿cuál es el camino al que nos dirigimos? La solución a esta cuestión no respondería a la realidad si no hiciésemos mención de conceptos como Big Data, Cloud computing, Blockchain, o Smart Contract.

Desde esta perspectiva, la información resulta un activo cada vez más relevante para cualquier entidad que quiera tener presencia en el mercado, ya sea desde el ámbito privado, como puede ser el público. Este tipo de información tendrá valor para las entidades siempre que se traten cantidades masivas de datos provenientes de fuentes dispares con el objetivo de poder otorgarles una utilidad. Aquí nos encontramos ante la primera aproximación al concepto de Big Data realizado por la Agencia Española de Protección de Datos (en adelante, AEPD), en su Guía: BIG DATA, PRIVACIDAD Y PROTECCIÓN DE DATOS. Algunos ejemplos que se pueden derivar de estas utilidades podrían ser: la elaboración de perfiles sociales o profesionales en el ámbito de procesos de selección de personal; la utilización de patrones de compra para incentivar el consumo; o incluso, ofrecer una atención médica personalizada; entre muchos otros. Ahora bien, no debemos olvidar que el uso de este tipo de tecnologías puede producir un gran impacto en la esfera privada de cualquier ciudadano, siendo necesario regular adecuadamente los límites y requisitos de este tipo de nuevas prácticas.

Por todo ello, para dar comienzo al presente artículo debemos, en primer lugar, hacer hincapié en el concepto objeto de estudio: ¿Qué es el Big Data? De acuerdo con lo señalado por la AEPD, Big data es un término que alude al enorme crecimiento en el acceso y uso de información automatizada. Se refiere a las gigantescas cantidades de información digital controlada por compañías, autoridades y otras organizaciones, y que están sujetas a un análisis extenso basado en el uso de algoritmos. No es una tecnología en sí misma, sino más bien un planteamiento de trabajo para la obtención de valor y de beneficios como consecuencia del tratamiento de los grandes volúmenes de datos que se están generando día a día. Es decir, se trata de analizar cantidades masivas de información provenientes de diversas fuentes (como pueden ser la localización, Redes Sociales, páginas webs, tarjetas de crédito, bases de datos…) para obtener conocimiento, hechos o tendencias de la población, o de un sector de esta. Las organizaciones en sus tratamientos de Big Data tratan de obtener valor, ya sea económico en las organizaciones con ánimo de lucro u ofrecer un mejor servicio en las que no lo tienen.

El Big Data se caracteriza por tres atributos, llamados las tres «uves»:

  • Volumen: recoger, almacenar y tratar grandes cantidades de datos y metadatos.
  • Velocidad: analizar los datos y metadatos de forma muy rápida, incluso en tiempo real.
  • Variedad: fuentes estructuradas como no estructuradas: transacciones bancarias, imágenes de satélite, redes sociales, contenidos de páginas web, dispositivos móviles de geolocalización y miles de aplicaciones, las conexiones del internet de las cosas, los servicios web 2.0, e incluso el cuerpo humano.

Por otra parte, tal y como señala la AEPD en su Código de Buenas Prácticas en Protección de Datos para proyectos Big Data, desde un punto de vista de arquitectura y tecnología, se puede estructurar un sistema Big Data en cinco capas principales:

  • Capa de fuentes de datos: en esta capa estarían todos los orígenes de la información, desde bases de datos relacionales hasta cualquier tipo de datos, estructurados o no.
  • Capa de integración: aquí se adquieren los datos y se integran en conjuntos con el formato adecuado.
  • Capa de almacenamiento de datos: el conjunto de recursos adecuados para el almacenamiento de grandes volúmenes de datos.
  • Capa de análisis y modelos de computación: esto incluye diversas herramientas de manejo de datos, que operan sobre los recursos de almacenamiento e incluyen la gestión de los datos y los modelos de programación.
  • Capa de presentación y aplicación: incluye las tecnologías de visualización tales como dispositivos móviles, navegadores, etc. Una vez obtenido el conocimiento, éste se puede aplicar en distintos procesos.

Como hemos adelantado al inicio del artículo, la utilización de estas tecnologías con incidencia directa en las personas puede suponer diversos riesgos o amenazas para la privacidad de las personas (como por ejemplo la utilización discriminatoria excluyendo a sectores minoritarios en base a los resultados analizados), a la vez que oportunidades para mejorar la sociedad (como su utilización en las Smart Cities como herramienta para prevenir colapsos de tráfico y excesos de contaminación). En consecuencia, ¿qué límites encontramos en la utilización del sistema de Big Data en relación con las obligaciones derivadas en materia de privacidad?

NUEVOS RETOS: BIG DATA 1

El marco jurídico aplicable a los usos del Big Data se compone, en primer lugar, en el Reglamento General de Protección de Datos (en adelante, RGPD). Ahora bien, siempre y cuando la información analizada en el proyecto de Big Data contenga datos de carácter personal, es decir, cualquier información o conjunto de información concerniente a personas físicas identificadas o identificables, habrá de tenerse en cuenta la aplicación de la normativa de protección de datos. Y para ello, será necesario contar con alguno de los fundamentos legales que establece la normativa. De manera más precisa, para determinar si una persona es identificable, han de usarse “todos los medios que puedan ser razonablemente utilizados y sin esfuerzos desproporcionados”. En caso contrario, si la información objeto de análisis no puede dar lugar a la identificación de los interesados, nos encontramos ante datos anonimizados, o dicha identificación, de ser posible, requiere unos esfuerzos desproporcionados, no será de aplicación esta normativa.

No obstante, y en relación con los procesos de anonimización es importante destacar el principio de -anonimidad, definido por la AEPD. En una realidad en la que fuentes de datos independientes se interconectan y que, por diseño, pueden compartir atributos comunes, cabe la posibilidad de crear un rastro electrónico de los individuos, incluso cuando se hayan suprimido los datos que explícitamente les identifican, pudiendo llegar a establecerse vínculos entre dichas fuentes de información y constituir así una amenaza para la privacidad de los interesados cuyos datos están sujetos a tratamiento. En este sentido, existen diferentes técnicas orientadas a preservar la privacidad de los datos personales de individuos encaminadas a limitar las amenazas a la privacidad que pueden materializarse al desanonimizar información. La -anonimidad es una técnica orientada a prevenir la reidentificación de un sujeto concreto dentro de un grupo, ya sea mediante generalización de los atributos cuasi-identificadores o la eliminación de registros fuera de rango, sin embargo, no ofrece garantías para evitar que sea posible, conocida la pertenencia de un sujeto a dicho grupo, inferir información de carácter sensible que tenga asociada. Por ello, no siempre que nos encontremos ante información anonimizada resultará imposible re-identificar a los interesados, resultando necesario aplicar las obligaciones en materia de protección de datos.

El derecho a la protección de datos ha sido definido por nuestros tribunales, estableciendo que «consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, permitiendo también al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o su uso. Su carácter de derecho fundamental le otorga determinadas características, como la de ser irrenunciable y el hecho de prevalecer sobre otros derechos no fundamentales» (STC 292/2000, de 30 de noviembre de 2000).

En relación con esto, se atribuye al titular de la información un poder de disposición y control sobre la misma, decidiendo quién o quienes pueden tratarla, con que usos o finalidades, durante cuánto tiempo, etc. Si acudimos ahora, a la definición de Big Data podemos observar que la misma puede estar en contraposición con lo regulado en este ámbito, por ejemplo, porque el interesado no fue informado de esta práctica en el momento de aportar sus datos de carácter personal, o porque el sistema de análisis se nutre de información proveniente de múltiples orígenes, perdiendo el interesado el poder de disposición al no conocer qué entidad va a realizar dicho análisis.

Por todo, en el momento de que una entidad decida iniciar un proyecto de Big Data, deberá atender todas las obligaciones establecidas en el RGPD y su normativa de desarrollo, como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), con motivo de realizar un correcto tratamiento de la información objeto de análisis. A modo de ejemplo, se debería realizar un análisis de no incompatibilidad, para determinar que el tratamiento posterior de la información no es incompatible con la finalidad original. Para ello el Grupo de Trabajo del Artículo 29 ha analizado este aspecto en su Dictamen (WP 203). Al respecto, para saber si los usos posteriores de los datos personales son compatibles, el Dictamen establece los siguientes criterios:

  • Debe existir una relación entre la finalidad original y la finalidad o finalidades ulteriores.
  • El tratamiento ulterior debe encontrarse dentro de las expectativas razonables del interesado.
  • Debe tenerse en cuenta la naturaleza de los datos objeto de tratamiento y la sensibilidad de los mismos.
  • Debe considerarse el impacto que este tratamiento va a tener en los interesados.
  • Deben considerarse las medidas de protección que el responsable del tratamiento establece, en particular las medidas técnicas y organizativas: encriptación, seudonimización, separación funcional, transparencia, oposición al tratamiento.

Para concluir el presente artículo, daremos traslado de algunos ejemplos de la utilización del Big Data con objeto de mejorar la calidad de vida de las personas. Estos proyectos han sido desarrollados por LUCA: AI Powered decisions, entidad dedicada a la transformación digital, que forma parte de Telefónica Digital España, S.L.U.:

  • Big Data para mejorar la calidad de vida en las favelas

Proyecto realizado por la Universidade de Sao Paulo y las soluciones de Crowd Analytics de LUCA, donde se analizaron las demandas de movilidad urbana en Paraisópolis, un área de favelas de Sao Paulo, para garantizar una planificación urbana de calidad para toda la ciudad.

  • Inteligencia Artificial para alcanzar objetivos de negocio

Proceso de transformación digital para medir el impacto de la imagen de marca y predecir estrategias que les permitan alcanzar objetivos de marketing digital.

  • Mapa de empleabilidad en España

Desarrollo de una nueva infraestructura Big Data para aumentar las oportunidades de trabajo en las distintas provincias de España. Capturando información de fuentes externas, el Mapa del Empleo de Fundación Telefónica permite conocer con detalle cuáles son las habilidades y profesiones más demandadas en cada provincia española.

Miranda Bausa

Legal Privacy Advisor en @govertis 

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

COOKIES: ¿LA OPCIÓN DE “SEGUIR NAVENGANDO” ES, REALMENTE, RESPETUOSA CON LA PRIVACIDAD?Entrada anterior:
Miguel Gómez integra la nueva sección de e-Sports del ICAMSiguiente entrada