No cabe duda de que nos encontramos en pleno auge de la era de la información, ya que desde el inicio de la civilización hasta el 2013, se crearon, aproximadamente, cinco exabytes[1] de información. Actualmente, se genera esa misma cantidad cada dos días. En ese sentido, la explosión de datos que vive nuestra sociedad actual ha propiciado que se acuñe el término Big Data, cuyo desarrollo merece que reflexionemos sobre sus consecuencias y su posible impacto jurídico.
En términos sencillos, el Big Data es el conjunto de tecnologías que permiten tratar cantidades masivas de datos personales provenientes de distintas fuentes a través del uso de algoritmos, con el objetivo de poder otorgarles una utilidad que proporcione valor. Es decir, el Big Data permite procesar datos cuyo tamaño (volumen), complejidad (variabilidad) y velocidad de crecimiento (velocidad) dificultan su captura, gestión, procesamiento o análisis por parte de tecnologías y herramientas convencionales.
Uno de los ejemplos más conocidos de uso de Big Data[2], se produjo en la cadena de supermercados Walmart, que recogía datos sobre las compras de sus clientes para posteriormente analizarlos y comprender mejor sus hábitos de consumo. Con dicha información, Walmart comenzó a realizar predicciones sobre las ventas que obtendrían en diversos escenarios, por ejemplo, durante las alarmas por huracán. Sus análisis descubrieron que el producto más vendido antes de que ocurra este fenómeno natural era la cerveza, y que dichas alarmas disparan las ventas de los dulces «Pop Tarts» siete veces por encima del nivel normal de ventas. Con este nuevo conocimiento, el supermercado puede tomar decisiones mejor fundadas y gestionar sus inventarios o promociones de manera adecuada con el fin de incrementar las ventas.
Por lo tanto, el valor del Big Data no estaría en la cantidad de datos que se procesa, sino en la capacidad de inferir información, puesto que existe un sinnúmero de beneficios que esta tecnología ofrece una vez que se tratan estos datos[3]. Sin embargo, esta administración de la información también implica un riesgo. La disponibilidad de grandes volúmenes de datos está cambiando el modo en que vivimos y pueden utilizarse para vulnerar la privacidad e intimidad de las personas. Por consiguiente, a través del presente artículo se pretende dilucidar si la legislación peruana de protección de datos personales está preparada para la adopción del Big Data.
Las implicaciones que resultan de este tratamiento masivo de datos se presentan como un desafío para el adecuado cumplimiento de la Ley de Protección de Datos Personales por los siguientes motivos:
1. Al procesar información mediante el Big Data, el principio de consentimiento puede ser vulnerado.- En atención a este principio, el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiese prestado su consentimiento libre, previo, expreso, informado e inequívoco. Actualmente, el principal mecanismo que permite que las empresas traten nuestros datos personales utilizando el Big Data es a través de las políticas de privacidad online ofrecidas a los usuarios como términos unilaterales y contractuales, que se han convertido en la piedra de la protección de la privacidad online, a pesar de la aplastante evidencia de que la mayoría de las personas ni siquiera lee los términos o no los comprende[4].
En nuestro ordenamiento jurídico, el consentimiento informado es la columna vertebral de la idea de que privacidad implica control sobre nuestra información. No obstante, el problema se ha agravado a medida que aparecen las técnicas de Big Data, en el que, por si esto no fuera suficiente, en el tratamiento de los datos participan a menudo diferentes países.
El carácter informado e inequívoco del consentimiento también significa que, si los fines para los que los datos son tratados por el responsable cambian en algún momento, el usuario deberá ser informado y estar en condiciones de dar su consentimiento para el nuevo tratamiento de datos. La información que se facilite debería mencionar las consecuencias del rechazo de los cambios propuestos. Cuando hablamos de Big Data es especialmente relevante el hecho de que el consentimiento debe aplicarse a un contexto determinado, así como el hecho de que, si el fin para el que se utilizarán los datos cambia, podría ser necesario volver a recabar el consentimiento. Y ello porque, precisamente, el valor del Big Data reside en que la nueva información que se crea permite dar nuevos usos a los datos. Es precisamente en estos usos secundarios donde reside el potencial del Big Data[5].
El artículo 7° del Reglamento de la Ley de Protección de Datos Personales señala que no se admiten fórmulas de consentimiento en las que este no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Por tanto, esta forma de concebir el consentimiento obligaría a que cada vez que se descubra un nuevo uso para los datos, el responsable debería volver a pedir el consentimiento a cada uno de los individuos cuyos datos estén siendo tratados por segunda vez. Esto, en muchas ocasiones, podrá ser técnicamente inviable, por no decir que las empresas no podrían asumir los costes. Por ejemplo, una empresa que se dedica a la investigación, en primer lugar, deberá recabar el consentimiento de un titular para utilizar sus datos a fin de encontrar la cura del Alzheimer; sin embargo, si quisiera utilizar dicha información para una nueva investigación, esta deberá contar con una nueva autorización, aumentando así los costos para las empresas.
Como bien señala Gil González, la cadena de emisores y receptores de datos es potencialmente infinita y oscura. Así, el consentimiento se parece cada vez más a un cheque en blanco. En esta situación, la pregunta que surge es si la obligación del responsable del tratamiento de informar sobre la recogida de los datos se circunscribe a la información que explícitamente recoge (datos primarios), o si debe adoptarse un criterio más amplio y entender que este deber de información también alcanza a aquella información que la empresa pudiera obtener tras el tratamiento (datos secundarios).
Esta segunda aproximación tendría muchas dificultades prácticas, en tanto que, por su propia naturaleza, el valor del Big Data reside precisamente en lo inesperado de los resultados que revela. Así, ¿cómo explica el responsable del tratamiento que resulta imposible saber con antelación qué información revelará el tratamiento de los datos recabados? Son muchos los juristas que consideran que el consentimiento prestado bajo estas circunstancias no es el consentimiento informado que la norma exige.
2. La reutilización de datos que fueron obtenidos en un principio vulnera el principio de finalidad.-En virtud de dicho principio, los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. En ese sentido, no pueden tratarse los datos personales para finalidades incompatibles a las que fueron informadas de forma inequívoca a los interesados en el momento de recabar sus datos, lo cual constituye un problema, puesto que el Big Data se basa, precisamente, en reutilizar datos que fueron obtenidos para una primera finalidad, otorgándole un nuevo fin. Este es uno de los aspectos en donde se encuentra la mayor fuente de beneficios del Big Data.
Para ello, la doctrina española[6] ha formulado un test de incompatibilidad entre los usos del Big Data y el principio de finalidad. Por tanto, para superar esta situación se deberá cumplir con alguna de las siguientes condiciones:
- Que las finalidades del tratamiento de datos del proyecto Big Data se ajusten a lo informado a los interesados en el momento inicial de recabar sus datos; o bien
- Que las finalidades del tratamiento de datos del proyecto Big Data sean razonablemente previsibles para los interesados, aun no habiendo sido explícitamente informados en el momento de obtener sus datos; o bien
- El tratamiento de datos resultante del proyecto Big Data está justificado por otras causas de legitimación previstas en la normativa de privacidad (como son, por ejemplo, el interés legítimo del responsable del tratamiento, el cumplimiento de obligaciones legales, contractuales, o en atención al interés vital de los interesados).
En caso se supere con éxito este test de incompatibilidad, el uso del Big Data podrá considerarse conforme a la normativa de protección de datos personales, sin perjuicio del cumplimiento de otras normas que establece la Ley de Protección de Datos Personales, tales como las medidas de seguridad. Ahora bien, si el resultado del test es negativo, el uso del Big Data deberá sujetarse a información y consentimiento previos de los interesados involucrados, o bien someterse a procesos de anonimización y disociación de los datos.
3. Los procedimientos de anonimización muestran limitaciones en entornos de Big Data, lo que puede afectar el derecho fundamental a la privacidad.-El procedimiento de anonimización es aquel tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos, el cual es irreversible. El tratamiento de datos personales puede extenderse a otras finalidades en la medida que se utilice este proceso. En ese sentido, la anonimización se presentaba como la mejor solución para tratar los datos protegiendo la privacidad de los sujetos.
No obstante, la Federal Trade Commission de Estados Unidos ha declarado que: “Hay evidencias suficientes que demuestran que los avances tecnológicos y la posibilidad de combinar diferentes datos puede conllevar a la identificación de un consumidor, ordenador o dispositivo, incluso si estos datos por sí mismos no constituyen datos de identificación personal. Es más, no solo es posible reidentificar datos que no son identificadores personales a través de medios diversos, sino que las empresas tienen fuertes incentivos para hacerlo”[7].
Es importante mencionar que el procedimiento de anonimización fallará en la medida que haga identificable a la persona. Un sujeto es identificable cuando, aunque no haya sido identificada todavía, sea posible hacerlo. En otras palabras, la posibilidad de identificar a una persona ya no equivale necesariamente a la capacidad de poder llegar a conocer su nombre y apellidos, puesto que los datos pueden ser combinados con otros a fin de que permitan distinguir a esa persona de otras.
El Big Data analiza la huella digital de los individuos y a pesar de que en una base de datos no aparezcan nombres, se aprecian patrones. De manera que, con estos patrones, una persona con suficientes conocimientos analíticos puede obtener nombres, lo cual afecta nuestra privacidad, puesto que esta es entendida como el control que tienen los sujetos sobre sus conductas e información. A medida que evolucionen las técnicas de Big Data, los individuos perderán esta facultad de salvaguardar su espacio personal e impedir que no sean observados o incomodados por terceros.
A manera de conclusión, resulta evidente que el Big Data es una revolución tecnológica que llegó para quedarse. Sin embargo, la legislación peruana es muy restrictiva respecto al tratamiento de datos personales que deben cumplir las empresas, dado que la reutilización de datos para finalidades distintas a las recopiladas en un inicio supondría vulnerar los principios de consentimiento y finalidad que se encuentran recogidas en la Ley de Protección de Datos Personales. En consecuencia, en la medida que nuestro ordenamiento jurídico no se adapte a esta realidad, aquellas compañías que pretendan utilizar esta tecnología en el Perú tendrán una carga especial del deber de diligencia, la cual se verá reflejada en un PIA (“Privacy Impact Assesment”): (i) Deberán tener claro qué datos tienen en su poder, qué datos buscan recolectar y si dicha información viola de alguna esta normativa; (ii) Ver qué fuentes de datos tienen y si la utilización de datos proveniente de terceros cuenta con los permisos necesarios; (iii) Verificar cuáles son las finalidades para las cuales pueden utilizar dicha información; (iv) Utilizar métodos de anonimización que no permitan la reidentificación de los individuos.
Notas del autor
[1] A modo de ejemplo, esta cifra equivale a 530’000,000 millones de canciones, 150´000,000 celulares y 90 años de reproducción de Videos en HD.
[2] GIL GONZÁLEZ, Elena (18 de octubre de 2016). ¿Qué es Big Data y por qué debe interesarme si soy abogado? Recuperado de: http://www.legaltoday.com/blogs/nuevas-tecnologias/blog-ecija-2-0/que-es-el-big-data-y-por-que-debe-interesarme-si-soy-abogado
[3] En el sector salud, desde una perspectiva individual, el Big Data -combinado con la inteligencia artificial- ayudará a tener mejores diagnósticos en base a millones de historiales clínicos y literatura médica, tal como lo viene realizando IBM con Watson, sistema informático de inteligencia artificial, en algunas clínicas de oncología en el extranjero. Y, desde un punto de vista colectivo, las técnicas de Big Data pueden ayudarnos a predecir epidemias o a hacer más eficiente la atención hospitalaria. En la industria turística, el Big Data sirve para predecir con mayor precisión cuándo, dónde y cómo viajará la gente. Esto les permite decidir cómo adaptar sus servicios para obtener el máximo beneficio, al mismo que la máxima comodidad y goce de los viajeros. Los macrodatos, en el sector energético, han permitido que las plantas de energía consideren algo más que el consumo general; ahora también desmenuzan los patrones de consumo. Esto les permite proporcionar energía de forma más eficiente y bajo un coste inferior. Los datos históricos dan a las plantas lo que necesitan para hacer predicciones hora a hora e incluso minuto a minuto, las cuales pueden cambiar dependiendo de la época del año.
[4] GIL GONZÁLEZ, Elena (16 de marzo de 2017). Big Data: Consentir o no consentir, ésa es la cuestión. Recuperado de http://ecija.com/big-data-consentir-no-consentir-esa-la-cuestion/
[5] GIL GONZÁLEZ, Elena. Big Data, privacidad y protección de datos. Accésit en el Premio de Investigación de 2015. Agencia Estatal Boletín Oficial del Estado. Madrid, España, p. 63.
[6] PÉREZ SANZ, Carlos. Aspectos Legales del Big Data. Recuperado de: http://www.revistaindice.com/numero68/p18.pdf
[7] FEDERAL TRADE COMMISSION (FTC). «Protecting Consumer Privacy in an Era of Rapid Change. Recommendations for Businesses and Policymakers» (2012).