Pongamos que hablamos de PROTECCION DE DATOS
Adentremonos
Las exigencias del Reglamento General de Protección de Datos y la LOPDgdd se centran en los Derechos y Libertades de los sujetos objeto de tratamiento de datos personales. Interactuamos a diario, cada minuto, cada segundo, a medio de ordenadores, teléfonos o cualquier tecnología que se innova de forma continua.
Las facilidades que nos son proporcionadas por las TIC hace que multitud de todo tipo de personas, entes u organismos, sepan acerca de nosotros, mas que nosotros mismos, ello que respecta a nuestros gustos, costumbres, trabajo, funcionamiento, interpelación con amigos, hijos, compras, etc., etc. Las máquinas gestionan todo ello, dependemos de ellas y de su correcto funcionamiento. Nos facilitan múltiples interacciones, así el conocimiento de tantos datos permiten que seamos altamente vulnerables.
De ahí que debamos preguntarnos cómo el Reglamento y la LOPDgdd nos pueden ayudar a proteger nuestros Derechos y Libertades.
Cualquier, persona, ente u organismo que trate nuestros datos personales ha de cumplir con la normativa que la UE y España tienen establecida a este respecto; y nosotros hemos de conocer lo mas básico sobre estos Derechos que nos asisten, dado que la forma en que, particularmente las grandes empresas tecnológicas y muchas otras, a cambio de conocer todos nuestros datos (movimientos), nos ofrecen, conocimiento, acceso, juego, comunicación, etc., aparentemente de modo gratuito.
Por dónde empezar?
Podemos dar comienzo preguntándonos para qué, en base a qué, y cuánto tiempo quieren nuestros datos?. Los fines pueden repetirse un número indefinido de veces. Cualquier persona, ente, u organismo puede utilizar nuestros datos con millones de finalidades. No podemos conocer cada uno de los fines, pero sí podemos saber y podemos exigir que los fines, cualesquiera que sean, habrán de ser explícitos, legítimos, determinados, adecuados, pertinentes y limitados, exactos y actualizados.
Así lo exige el artículo 5 del RGPD. Los datos explícitos no pueden ofrecer ningún tipo de duda, precisión o ambigüedad, es algo, claro, nítido y evidente. Su legitimidad viene dada siempre y cuando el interesado haya prestado de forma clara y expresa su consentimiento; cuando sean precisos para efectuar un contrato en el que el interesado es parte, o para aplicar, a petición de este, medidas precontractuales; lo es para el supuesto de que se precise cumplir una obligación legal que ha de aplicarse a quien trate tus datos personales, cuestión ésta que puede concretarse de manera mas especifica por cualquier Estado miembro o por la Unión; también cuando se precisaren para proteger intereses vitales del interesado u otra persona física; cuando se precise cumplir una misión que se lleva a cabo en interés publico o en el ejercicio de poderes públicos que se confieren a quien está autorizado a tratar nuestros datos personales, que también podrá concretarse de manera especifica por cualquier Miembro o la propia Unión. Podrá existir legitimación en el tratamiento de nuestros datos personales siempre que quien esté autorizado o sea el Responsable del tratamiento de nuestros datos personales o un tercero, precise satisfacer sus propios intereses, y cuando estos intereses prevalezcan sobre nuestros Derechos y Libertades, que el Ordenamiento Jurídico nos tiene reconocido como interesados. Esta cuestión quizá sea menos inteligible para el común de los mortales y precisa de aclaración y la correspondiente ponderación para que sea sencilla y nítidamente comprensible, por lo que exigirá de otras manifestaciones mas amplias en este sentido. Simplemente hemos de saber que en muchas ocasiones los datos personales de los que somos titulares son utilizados porque el Responsable o un tercero está autorizado para tratarlos.
Determinados, indica que han de ser conocidos y con características definidas. Han de ser Adecuados, es decir, idóneos o hábiles para el fin solicitado. Pertinentes que guardan relación con la finalidad para lo que fueron solicitados. Limitados, en el sentido de tratar los datos precisos para el fin solicitado; su tratamiento ha de ser para aquello que se precise, para su concreto fin, no para un “ por si acaso”. Exactos y Actualizados, que se corresponda de manera verídica con el datos que se esta tratando, respecto de la persona a la que identifica o puede identificar.
Quién puede tratar nuestros datos personales?
En el argot de la protección de datos lel RGPD alude al Responsable del Tratamiento, al Corresponsable o corresponsables y al Encargado del Tratamiento, que son, los primeros, todas aquellas personas físicas o jurídicas, autoridad publica, servicio u otro organismo o conjunto de los anteriores que deciden sobre los fines del tratamiento y los medios del mismo. El Encargado es el que lleva a cabo el tratamiento de datos personales, por cuenta de uno o varios Responsables, relación que ha de unirse por un contrato escrito que clarifique y determine cada uno de los cometidos.
Cómo deben ser tratados los datos personales?
De manera Transparente, respecto del interesado.
Ello quiere decir, desde la perspectiva del RGPD, que al interesado ha de facilitársele toda información concerniente a sus derechos, como son el Derecho de Acceso, el Rectificación, el de Cancelación, Oposición, el de Portabilidad, el Derecho al Olvido y a la Limitación del tratamiento.
Se ha de informar al interesado quien trata sus datos personales y con quien puede ponerse en contacto para obtenerlos, o se le facilitará información al respecto; cuales son los fines de tratamiento de sus datos personales; quienes serán los destinatarios, si los hay, de esos datos personales; si van a transferirse fuera de la Unión; durante cuanto tiempo serán tratados dichos datos personales por el responsable o encargado, o los criterios para determinar dicho plazo de duración. Cómo retirar el consentimiento dado; indicar que pueden presentar una queja o reclamación ante la Autoridad de Control (aepd). Expresar si se han hecho o utilizado o basado los datos personales en decisiones automatizadas, incluso si se han elaborado perfiles, sobre la lógica aplicada, su importancia y consecuencias de ello para el interesado; necesidad de la obligación de presentar datos personales, en el supuesto y consecuencias de su falta de facilitación.
En caso de que no hayan sido adquiridos los datos personales del interesado, el responsable dará la información de que disponga en cuanto a su origen.
Deberá también facilitarse al interesado copia de los datos que son objeto de tratamiento, sin perjuicio de aludido derecho a la Portabilidad.
Toda esta información puede quedar en suspenso o inaplicable por cuestiones por Ley establecidas, como puede ser la Seguridad del Estado, la Defensa, la Seguridad publica, prevención o investigación de infracciones penales, protección independencia judicial, ejecución demandas civiles, prevención e investigación de normas deontológicas (articulo 23RGPD). Habrá, en este caso, que concretar la finalidad de las categorías de tratamiento, de cuales se trata, cual es el alcance establecido, lel alcance de las limitaciones establecidas, as garantía para evitar accesos o transferencias abusivas, riesgos para derechos y libertades y el derecho de los interesados para ser informados sobre la limitación, a no ser que ello pueda ser perjudicial a los fines de ésta.
Por dónde seguir?
Hemos dicho que la utilización por nuestra parte de las TIC puede suponer graves riesgos para nuestros Derechos y Libertades, y hacernos sujetos altamente vulnerables; existiendo en ello un grave riesgo que ha de ser evaluado, gestionado y minimizado a fin de que esos Derechos y Libertades que ostentamos salgan indemnes.
Existen todo tipo de tecnologías, aunque aludiremos a las más utilizadas o de más implantación.
Exige el Reglamento, ademas de tener en cuenta el estado de la técnica, su coste, la naturaleza, ámbito y fines de tratamiento y sus riesgos para derechos y Libertades de las personase que se apliquen las medidas técnicas y organizativas apropiadas, señalando algunas de ellas, a fin de dar cumplimiento al RGPD.
Las medidas a tomar, como ya hemos dicho en otras ocasiones, con arreglo a dos principios… por Defecto (by default) y desde el Diseño (by design).
Veamos
Entre las tecnologías mas amplias y mas usadas tenemos:
– Redes Sociales
Canales de información utilizados por un sin número de personas a través de Internet. En ellas se pueden publicar documentos, fotografías, videos, enlaces, actividades, trabajos, etc. Comentarios, diálogos. Se pueden utilizar perfiles y contienen todo tipo de información.
Son canales sencillos de fácil acceso y de actuación inmediata; a través del que se comparten todo tipo de contenidos, habitualmente sin coste alguno. Se produce un tratamiento de datos personales que permite actividades comerciales y de todo tipo, mas allá del solo intercambio de contenidos. La Red social puede hacer perfiles con un gran impacto, ademas de facilitar la venta de datos obtenidos a través de las mismas. Este tipo de tratamiento suele basarse en el consentimiento del interesado, que suele otorgar gratuitamente a cambio del uso de la red social y sus múltiples ofertas (juegos, test, crucigramas, etc.). Es habitual que para darse de alta el usuario haya de identificarse (datos de identificación).
Se recogen las paginas web visitadas, las direcciones IP, localización, etc.
Se tratan datos de carácter personal que van mas allá del perfil del usuario, ya que también se tiene en cuenta la interacción de este.
Se pueden inferir categorías especiales de datos y obtenerlas de forma expresa; los menores suelen ser objeto de un amplio tratamiento a medio de redes sociales, por sus padres, sus amigos, sus enemigos y ellos mismos.
Aquí suele darse un desbordamiento de datos de carácter personal contrastando claramente con el principio de minimizaron de datos aludido. (Limitación). La confidencialidad brilla por su ausencia y todo cuanto se farfulle en ellas es recogido sistemáticamente y guardado.
– Nube (Cloud Computing)
Conjunto de utilidades por el que se ofrecen múltiples servicios de computación a través de Internet. Pueden ser soluciones en Infraestructuras y/o en Servicios, como capacidad para almacenar y procesar y/o proporcionan utilidades básicas para construir aplicaciones sobre las que se desarrollan soluciones, se ofrece software, hardware o cualquier herramienta para implementar procesos en las organizaciones.
El prestador del Servicio es quien hace ofrecimiento y da esos servicios y los demás son los usuarios; aquellos han de garantizar por contrato la calidad del servicio, la privacidad, la seguridad, el mantenimiento, actualizaciones, etc.
Se puede almacenar todo tipo de datos. Pueden establecerse restricciones respecto de la ubicación de los servicios de nube.
Ha de determinarse, en la medida de lo posible, el control del alojamiento de la nube, o el uso de sus servicios, pues se evidencia que la privacidad de los datos personales almacenados, es de fácil acceso, o pérdida o descontrol; entrañando ello graves riesgos para los datos personales de todo tipo.
Se dificulta en gran medida la posibilidad de notificar una brecha de seguridad, puesto que es difícil tener conocimiento de que ello se produzca. Pueden cambiar se facilmente las condiciones por el prestador del servicio, lo que dificulta el conocimiento preciso acerca de los datos personales que tratamos.
–Tecnologias de seguimiento (Cookies)
Las cookies, pequeña información o archivo, creadas por un sitio web que contiene pequeñas cantidades de datos enviados de un emisor (sitio web) a un transmisor,(el navegador del usuario), permitiendo a aquel consultar la actividad de este. Recuerda accesos, reconoce hábitos. Reconoce al usuario y almacena su historial de actividad en determinado sitio web.
Está sometida a la legislación que regula las cookies, toda persona física o jurídica que presta servicios de la sociedad de la información (desde el cloud computing (nube), redes sociales y canales de distribución de contenidos, hasta pequeños blogs, mapas, traductores, etc.); se pueden, entre otras, exceptuar de dicha legislación, las cookies de entrada de usuario, de autenticación de usuario, de seguridad del usuario, de sesión de reproductor de multimedia, de sesión para equilibrar la carga de personalización de interfaz de usuario, de intercambio de contenidos sociales, debiendo, aun con carácter genérico, informarse acerca de ellas.
Existen diversos tipos de cookies, según su titular, propias o de terceros, depende de quien las gestione, su editor u otra entidad que trata los datos obtenidos a través de las cookies.
Por su finalidad, cookies técnicas, permiten al usuario la navegación, su gestión en la forma mas eficaz posible de espacios publicitarios; de preferencias o personalización, permiten recordar la información para que el usuario acceda al servicio (ej. Idioma); analíticas o de medición, permiten a su responsable el seguimiento y análisis del comportamiento de los usuarios de las webs a que están vinculados, suelen utilizarse para introducir mejoras en función del análisis de uso de los datos de uso -señaló el GT29 su poca probabilidad como riesgo para la privacidad siempre que se trate de cookies con finalidad estadística y que los usuarios puedan manifestar su negativa a su utilización-; de publicidad comportamental , que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de hábitos de navegación, y permite desarrollar un perfil especifico para mostrar publicidad en función del mismo.
Pueden ser cookies de sesión, si son diseñadas para recabar y almacenar datos mientras usuario accede a pagina web; y persistentes, aquí los datos siguen almacenados en el terminal durante un tiempo que puede ir de unos minutos a varios años.
Las cookies implican riesgos, como recopilar datos personales que quedan fuera del propósito del tratamiento, por lo que ha de evaluarse hasta qué punto su utilización excede de una recogida de información del interesado, debiendo tomarse las medidas adecuadas. Si son tomadas por terceros han de evaluarse y contenerse si preciso fuera; pueden sustraer datos de identificación, de salud o de cualquier tipo, así como realizar perfiles, debiendo analizarse y evaluarse este tipo de riesgos.
– Tecnologias de Registro, Blockchain.
Cadena de bloques, consistente en una red de participantes que comparten un registro de forma distribuida, en la que se anota quien posee qué (activo) y quien negocia y con quien (transacción). En Blockchain todos los nodos mantienen copia del registro, lo que hace muy difícil manipular la información anotada, sin que al conjunto de participantes pueda pasarle inadvertido el cambio; difiere con el sistema tradicional en que este está centralizado el registro en una única autoridad central.
Al contrario que el Registro central que ejerce también funciones de verificación y validación de la información, en Blockchain se recurre al mecanismo de consenso entre los participantes, a fin de decidir como se toman las decisiones, se actualizan datos y como se mantiene la información almacenada de manera consistente.
El Blockchain coge su nombre por la forma en como se organiza ese registro. Una serie de bloques en los que se agrupan las transacciones, enlazado unos bloques con otros de forma cronológica, a través de un mecanismo criptográfico, que se denomina Hash y garantiza la integridad e inmutabilidad de la información registrada en la cadena.
Es de importancia legal el lugar donde se ubican los datos contenidos en el registro de bloques.
Ha de evaluarse su compatibilidad con la reglamentación sobre datos personales.
– Big Data
Es, ni mas ni menos que el tratamiento masivo de datos.
Requieren de una tecnología escalable para almacenamiento, manipulación, gestión y análisis eficiente de información.
Permite obtener información en tiempo real, a partir de fuentes de información de una cohorte de datos que están repartidos por amplios lugares. Existen plataformas al uso que permiten extraer, cargar y transformar datos de diverso origen, explorando su información.
Este tratamiento masivo de datos ha de tener una base que lo avale, o legitime para poder ser llevado a efecto. Si son incluidas categorías especiales de datos, ha de levantarse la prohibición de su tratamiento. Es preciso analizar detalladamente el principio de minimizacion pues la cantidad de datos, ademas de suficiente, ha de ser necesaria, en relación a su fin; evitando recoger cantidades ingentes de datos, como suele hacerse habitualmente en estas recogidas de datos a gran escala.
Es una tecnología que permite el perfilado, la toma de decisiones individuales automatizadas, por lo que puede precisar de una evaluación de impacto. Asegurarse la legitimación y la transparencia en este tipo de tratamiento de datos es fundamental.
El tratamiento de datos a gran escala es planteado por el RGPD con requerimiento de precauciones especiales por parte de su Responsable y Encargado, ya que su procesamiento puede encerrar grandes riesgos que han de gestionarse adecuadamente. En este caso concreto el RGPD exige una EIPD sistemática, esta evaluación, dependiendo de su resultado habrá de obtener de la Autoridad de control una Consulta Previa.
El carácter a gran escala de un tratamiento ingente de datos personales, se define en relación al numero de interesados afectados, de acuerdo al volumen o variedad de datos objeto de tratamiento, respecto a la duración o permanencia de la actividad del tratamiento de datos y respecto del alcance geográfico del tratamiento bis data.
Habrán de minimizarse los riegos detectados en la EIPD, a través de un análisis de riesgo, diseñando cautelas y garantías, tanto en la fase de la adquisición de los datos, como en la fase de su análisis; tener precauciones en la fase de anonimización o seudonimización, garantizar la confidencialidad en el almacenamiento y asegurar su anonimización cuando vayan a utilizarse los datos de los que se extrae el valor al presentar la información.
La reidentificacion se facilita con el añadido de datos o fuentes de datos, por lo que cualquier riesgo ha de evaluarse. Datos de menores o de personas vulnerables pueden aparecen a través de distintas fuentes de datos, precisando de mayores precauciones.
Resulta conveniente utilizar técnicas de minimizaron de datos, abstracción de la información, de anonimizacion y disociación de datos. La toma de decisiones en base a estos datos ha de ser también evaluada y analizada.
– IA Inteligencia Artificial.
Hablamos de IA cuando las máquinas son capaces de aprender de sus propias experiencias y resolver problemas, en situaciones diferentes, de manera que parecen pensar o mostrar cierta inteligencia.
Allega técnicas muy diversas: reconocimiento de patrones, reconocimiento de idioma, aprendizaje automático, realizar juegos, tareas completas, diagnosticar, a través de relojes inteligentes, neveras inteligentes, apps inteligentes, sistemas inteligentes, etc.
Conceptos elementales de esta son los algoritmos, pensados para reconocer patrones y así aprender a tomar decisiones de manera autónoma.
Sus sistemas suelen abastecerse de enormes cantidades de datos para aprender a tomar decisiones y llevarlas a cabo. Se precisa evitar inexactitudes y sesgos, errores o equivocaciones, que conduzca a la Inteligencia Artificial a tomar decisiones incorrectas e injustas de unos grupos por encima de otros.
Es habitual que por la misma sean tratados datos sensibles, de salud, sexo, raza, creencias u opiniones; por lo que, con mas razón es importante comprender que han de garantizarse los derechos y libertades de los interesados, salvaguardando la seguridad jurídica de los intervinieres.
Es fácil la inferencia de datos procedentes de esos magmas de datos, que se tratan y nos facilitan la toma de decisiones, que pueden influir de modo decisivo en el sistema, pudiendo inducirnos a extraer generalizaciones incorrectas.
Los datos sensibles han de ser tratados con la restricciones que la ley establece, tanto para su tratamiento como para levantar las limitaciones que operan frente a los mismos.
El RGPD de algún modo limita la Inteligencia Artificial, al establecer derechos respecto de los sujetos titulares de los datos personales, de modo que no sean sometidos a decisiones exclusivamente automatizadas. Exige que se informe adecuadamente tal sentido a los interesados, al señalar en su artículo 22 que el interesado debe disponer de información significativa sobre la lógica aplicada, su importancia y las consecuencias previstas.
Se recomienda un supervisión humana cualificada y en general cuando hay toma de decisiones automatizadas, siendo conveniente su documentación.
Riesgos específicos de la IA lo son también del Big data, en particular cuando se utiliza machine Learning, debido a la utilización masiva de datos.
Es habitual en la IA trabajar con otros, a medio de otros componentes, sistemas, nube o cualquier colaboración, siendo ello una fuente de riesgo que ha de gestionarse.
Es importante utilizar técnicas de seguridad, por defecto y desde el diseño a fin de garantizar los datos personales.
Es conveniente, cuando se trabaja con Inteligencia Artificial, establecer comités de ética, controles periódicos; realizar auditorias que comprueben componentes utilizados; evitar delegar todo el sistema y revisar todas las conclusiones; implementar mecanismos que permitan al interesado expresar su punto de vista, para impugnar decisiones, señalar puntos de contacto para la consulta.
Evaluar el riesgo y elaborar procedimientos para situaciones problemáticas. Son fácilmente manipulables, por lo que habrá que habilitar mecanismos que detecten estas vulnerabilidades.
Concluyamos
Cuando utilizamos las Tecnologias de la Información hemos de saber que somos sujetos de Derechos y Libertades en cuanto a que somos personas titulares de datos que nos identifican o pueden identificarnos y hemos de utilizarlas de forma responsable. A su vez, aquellos que tratan nuestros datos personales están obligados a tratarlos de modo que quede garantizado que dicho tratamiento es conforme a derecho, aplicando las medidas técnicas y organizativas apropiadas para que aquellos Derechos y Libertades queden indemnes; debiendo poder demostrar todo ello en cualquier momento.