Póngase en contacto con nosotros Seguir a @BCInfoPrivacy LinkedIn RSS
Búsqueda avanzada

Protección de datos y privacidad

por - Guest Blogger

Por Martin Abrams

En diciembre de 2015, el Supervisor Europeo de Protección de Datos, Giovanni Buttarelli, emitió un dictamen en el que sugería que necesitamos reinventar la protección de datos para la era de los macrodatos, no para comprometer los principios, sino para garantizar que los macrodatos se utilicen al servicio de las personas.

La privacidad y la protección de datos siempre han sido diferentes, pero han estado vinculadas por necesidades humanas comunes. La privacidad se refiere a un espacio en el que uno y su círculo íntimo están libres del escrutinio y el juicio de los demás. Se trata de los conceptos de privacidad física ampliada.

El revolucionario libro de Alan Westin Privacidad y libertad estableció la necesidad en todas las culturas de que las personas dispongan de un espacio donde puedan hacer tonterías, tener pensamientos diferentes y expresar comportamientos que difieran de las normas. Este espacio privado nunca ha sido perfecto: siempre ha habido mirones y cotillas. En la legislación europea, esto se traduce en el derecho fundamental a la autonomía y a la vida familiar.

La protección de datos, sin embargo, siempre ha tenido que ver con el uso prudente de los datos transformados en información al servicio de las necesidades de las personas y/o de una comunidad. Como explicó Peter Hustinx en un documento de 2014, la protección de datos va más allá de la privacidad y abarca toda la gama de derechos fundamentales afectados por el tratamiento de la información. La protección de datos es, en esencia, un control del poder inapropiado que puede producirse cuando las organizaciones poseen y procesan datos.

La necesidad de la protección de datos comienza con la creación del registro histórico: la invención de la escritura en la antigua Sumeria. La tecnología de recopilación, agregación y manipulación de la información pasó rápidamente a manos de los poderosos. Los escribas de la antigua Sumeria trabajaban para los poderosos. Los datos que creaban eran utilizados por los que mandaban para mantener el poder.

Sin embargo, la tecnología no favorece a nadie a lo largo del tiempo. La tecnología puede hacer tambalearse a los poderosos. La escritura puede utilizarse para difundir nuevos pensamientos y agregar intereses. El uso de la tecnología de la información puede servir para crear nuevos mercados y desplazar a los ya establecidos. Y este ritmo de creación y destrucción económica se ha acelerado.

Consideremos ahora la evolución del derecho a la intimidad.

La Carta Magna, base del sistema jurídico del mundo anglosajón, definía el espacio en el que las personas podían esperar soledad. El hogar de un individuo es su castillo. Una persona controla el acceso a su casa y a los documentos que contiene. Los archivos son una extensión de ese espacio. El comportamiento que tiene lugar en ese hogar sólo es observable por invitación de ese propietario.

Lo que una persona hacía en un espacio público y con otras personas estaba abierto a la observación. Eran registrables por otros individuos que participaban, o por otras personas en el espacio público común. Siempre han existido normas sociales e incluso leyes para regular el uso y el intercambio de esas observaciones.

La Segunda Guerra Mundial nos trajo la invención del ordenador. En los años sesenta, estaba claro que necesitábamos ir más allá de la Carta Magna. Los estudios de los sesenta dieron lugar a la legislación sobre privacidad y protección de datos en los setenta, que a su vez dio lugar a las Directrices de Privacidad de la OCDE.

El concepto clave entonces era que los datos procedían de mí, y debía haber una transferencia de esos datos de mí a otros basada en una clara delimitación de las normas relacionadas con esos datos. La naturaleza del uso no era el problema. Lo era la transferencia del control de los datos.

Sin embargo, también se reconocía que la generación de datos a menudo implicaba a más de una parte. También estaban los registros públicos, que siempre habían existido, pero que ahora eran mucho más visibles al pasar de los sótanos polvorientos a los ordenadores centrales. Así que las leyes estadounidenses empezaron a cubrir el uso justo de datos como los de los informes de crédito. Se trataba menos de control y más de la aplicación justa por parte de prestamistas y empleadores que ocupan posiciones de poder. El concepto de uso adecuado se recogió en la legislación europea y fue la génesis de la base jurídica para procesar.

Consideremos ahora la evolución de la tecnología y su impacto en la privacidad y la protección de datos. Se necesitaron miles de años para pasar de la invención de la escritura a la imprenta. Y unos cientos de años para pasar de la imprenta a las cámaras digitales. Después vinieron las máquinas clasificadoras de tarjetas hasta los ordenadores centrales. Los años 70 trajeron las tecnologías de bases de datos. La década de 1980 marcó una aceleración de las tecnologías con el procesamiento distribuido y el análisis estadístico frente a grandes y amplios conjuntos de datos. Los primeros años de la década de 1990 fueron un periodo dominado por el descenso de los costes de las comunicaciones y el procesamiento, al que siguieron Internet de consumo y el nacimiento real de un mundo de observación. El año 2000 trajo consigo el procesamiento con módulos comunes (producto del efecto 2000). Los costes de procesamiento y comunicaciones siguieron cayendo, dando paso a los organizadores personales y, finalmente, a los teléfonos inteligentes. Los macrodatos llegaron junto con el Internet de Todo. Las tecnologías de la información se han acelerado, pasando de milenios entre grandes cambios a décadas, años y, al parecer, minutos.

No sólo ha cambiado la tecnología, también ha cambiado la naturaleza del poder. En el año 2000, la inteligencia nacional giraba en torno a los Estados nación. En 2001, se convirtió en poderes descentralizados. Las amenazas ya no eran sólo los espías, sino el fabricante de bombas que recibe lecciones a través de Internet.

Entonces, tanto la privacidad como la protección de datos se vuelven muy complicadas. Los conceptos simples contenidos en la ley de 1972 no captan todos los retos de gobernanza de 2016.

Lo que no cambian son algunas necesidades humanas esenciales:

  • Necesitamos privacidad para tener un espacio en el que podamos ser defectuosos o perfectos sin que otros nos vean, oigan y/o sepan.
  • Necesitamos asegurarnos de que pensar con datos sirva a las necesidades de las personas y no al empoderamiento de aquellos con posiciones de poder dominantes.
  • Necesitamos información para mantenernos seguros, para tener un mercado más competitivo, para mejorar la asistencia sanitaria, para mejorar la educación y para ofrecer más oportunidades.
  • No queremos vernos perjudicados por el mal uso de la información o por ideas arrogantes.
  • No queremos que nuestro futuro esté predestinado por predicciones.

Necesitamos privacidad para tener espacio para ser nosotros mismos, pero las tecnologías siguen ampliando el común público y facilitan enormemente el uso de los datos. Además, el uso de los datos y su procesamiento para satisfacer nuestras necesidades significa descubrir nuevas perspectivas para mejorar la asistencia sanitaria, la educación, la participación económica e incluso para comprar mejor. Atender las necesidades de las personas y las comunidades exige que pensemos con datos. Pensar con datos es la analítica moderna.

Gran parte de la funcionalidad de la ley dependía de que la extensión de los datos fuera algo afín a nuestro ser físico. Sin embargo, el flujo de la tecnología ha sido ampliar la observación más allá de la protección del castillo. Cuando utilizo mi wearable conectado a mi teléfono inteligente, incluso en mi castillo, no cuento con las protecciones asociadas a los muros del castillo.

Sin embargo, adelantarse a la innovación es como intentar detener una avalancha con una pala. Sin embargo, canalizar la aplicación de la innovación consiste en garantizar el civismo.

Así pues, ¿cómo reinventar la protección de datos, tal como sugiere el SEPD? ¿Quién debe desempeñar un papel activo? ¿Cuáles deben ser esas funciones? ¿Cómo hacerlo con sensibilidad intercultural? Reinventar la protección de datos significa reinventar las funciones de los usuarios de datos, de los reguladores y de la gente corriente.

Empecemos por los usuarios de datos. A partir de ahí, el concepto de responsabilidad se amplía. El objetivo de ser un custodio responsable y que responde no cambia, pero los aspectos de serlo se vuelven mucho más holísticos. Esto es especialmente cierto cuando los datos se utilizan más allá de las expectativas de personas razonables.

Los macrodatos son una gran metáfora de ello. Por lo tanto, por su propia naturaleza, el big data es una reutilización de los datos, incluso si el big data figura como finalidad en una declaración de privacidad.

En primer lugar, debemos dividir los macrodatos en dos fases. Este concepto de un enfoque de big data en dos fases se exploró en un documento escrito por Paula Bruening, Meg Leta Jones y yo en 2013[1] La primera fase es el descubrimiento e implica pensar con los datos. La segunda fase es la aplicación e implica actuar con el conocimiento que surge de pensar con los datos. Los riesgos para las personas son diferentes en estas dos fases.

Una vez que se comprende si se está pensando o actuando, hay que entender las razones del tratamiento. ¿Cuál es el problema que se intenta resolver? Al entender el problema, uno puede empezar a comprender los retos relacionados con el uso de datos para resolver ese problema.

En segundo lugar, tenemos que comprender la mecánica del tratamiento de los datos que estamos utilizando. En muchos sentidos, esto coincide con las cuestiones de precisión claramente articuladas por las directrices de la OCDE. El tamaño y la diversidad de los conjuntos de datos no resuelven los problemas de exactitud, como algunos sugieren, sino que simplemente crean una mayor complejidad a la hora de determinar si la exactitud de los datos repercutirá en la credibilidad relacionada con las soluciones. La legalidad y moralidad de los datos entran en juego. Algunos datos están prohibidos por ley, otros por contrato o promesa, y otros simplemente no son apropiados.

En tercer lugar, hay que comprender claramente el álgebra lineal asociada a los beneficios y los riesgos. ¿Quién obtiene beneficios y quién corre riesgos? Si hay un desajuste entre el que asume el riesgo y el que recibe los beneficios, no es probable que el tratamiento esté equilibrado. Estas cuestiones se exploran en "El marco ético unificado para los macrodatos"[2 ] La protección de datos siempre ha exigido comprender toda la gama de riesgos para los derechos y libertades fundamentales, y el marco ético unificado explora cómo se pueden equilibrar esas cuestiones. Al final, esto lleva a una simple evaluación de si el tratamiento de datos es legal, justo y equitativo. Si no lo es, el tratamiento debe revisarse para que lo sea.

En cuarto lugar, los controles y equilibrios para los usuarios de los datos son importantes. Los responsables del tratamiento deben estar dispuestos a demostrar que sus evaluaciones se realizan con integridad. Estar preparados para demostrarlo crea los medios para demostrar un proceso sólido a un agente de supervisión. Para crear realmente controles y equilibrios, y asegurar la participación individual, los usuarios de datos deben ser educadores del público sobre cómo se utilizan los datos más allá de las expectativas de los individuos. La educación crea los medios para la participación individual, un elemento esencial de la responsabilidad.

En cuanto al papel del agente encargado de velar por el cumplimiento de la privacidad, los reguladores necesitan nuevas competencias. Deben ser capaces de formular las preguntas activas que faciliten si tanto el descubrimiento como la aplicación cumplen la prueba de ser legales, justos y equitativos. Esto significa que los reguladores deben estar dispuestos y ser capaces de diferenciar entre ambos. Para desempeñar su papel con eficacia, los reguladores necesitan autoridad para controlar el procesamiento.

Luego está el papel que desempeñan las personas. A principios de los setenta, cuando los datos y los sistemas eran los mismos, se esperaba que las personas desempeñaran el papel activo de gobernar los datos a través de las elecciones que hacían. En aquel escenario, la luz del sol resolvía muchos problemas. Hoy en día, la luz del sol no es suficiente. El procesamiento, incluso bien explicado, puede estar más allá de la capacidad de gestión de las personas. Sin embargo, las personas pueden actuar como comunidad de una forma que nunca antes habíamos visto. Como ya se ha dicho, esto depende en gran medida de la calidad de los materiales explicativos proporcionados por los usuarios de los datos. Mi colega Peter Cullen está explorando el papel de las personas en el Proyecto de Gobernanza Holística que dirige en el IAF.

Por tanto, para terminar, me gustaría sugerir que, como profesionales, debemos entender la diferencia entre privacidad y protección de datos. Ambas caras de la moneda de la legislación y la gobernanza son importantes, pero diferenciarlas nos acerca a soluciones eficaces que satisfagan las necesidades de la sociedad. Además, ya no podemos depender de que los individuos sean los guardianes del mercado a través de la lectura de notificaciones y consentimientos. La naturaleza del tratamiento se ha vuelto muy compleja. Sin embargo, el sistema no puede convertirse en uno en el que el usuario de los datos sea el único árbitro de qué tratamiento es apropiado y cuál no. El usuario de datos como papá es paternalismo más allá de ser justo y equitativo. Esto significa que las personas, como individuos o como grupo, deben tener un papel significativo en el establecimiento de normas para el tratamiento de datos más allá de las expectativas. Por último, los reguladores también deben diferenciar las cuestiones relacionadas con la autonomía de las relacionadas con el uso justo y equitativo de los datos para fomentar un mayor conocimiento y una mejor aplicación de las soluciones basadas en datos.

[Este blog se basa en una charla pronunciada en la Oficina del Comisario de Información y Privacidad, el 3 de febrero de 2016].

Abrams es director ejecutivo y estratega jefe de The Information Accountability Foundation, una organización educativa y de investigación sin ánimo de lucro.

[1] The Centre for Information Policy Leadership (2013), "Big Data and Analytics: Seeking Foundations for Effective Privacy Guidance", www.hunton.com/files/Uploads/Documents/News_files/Big_Data_and_Analytics_February_2013.pdf.

[2] The Information Accountability Foundation (2014), "A Unified Ethical Frame for Big Data Analysis", http://informationaccountability.org/wp-content/uploads/IAF-Unified-Ethical-Frame.pdf.

[Tag] Blog

Entradas recientes

Categorías