Adoptant millors pràctiques en privacitat per a l’economia de les dades

23 Desembre 2016
Comments 0
23 Desembre 2016, Comments 0

Per: Nacho Alamillo, expert del Big Data Working Group,  General Manager a Astrea La Infopista Jurídica SL

 

El Big Data – també conegut como “macrodades” – pot venir referit, en atenció als models de negoci d’Internet, i freqüentment serà així, a dades de persones físiques identificables, i en aquest cas, com no pot ser d’altra manera, s’hauria d’aplicar la legislació de protecció de dades de caràcter personal, que com és sabut respon al dret fonamental recollit a l’article 18.4 de la Constitució Espanyola de 1978; i que també es consagra, amb el mateix caràcter de fonamental, en l’article 8 de la Carta dels Drets Fonamentals de la Unió Europea de 2006.

La legislació de protecció de dades de caràcter personal es troba actualment continguda a la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), i al seu principal instrument de desenvolupament normatiu, el Reial Decret 1720/2007, de 21 de desembre (RLOPD), marc espanyol emmarcat en el Conveni 108 del Consell d’Europa, i es caracteritza per una sèrie de principis que defineixen la licitud del tractament de les dades de caràcter personal i de normes que busquen un elevat autocontrol dels citats dades per les persones a les que els mateixos es refereixen.

Cal esmentar, també, el recentment aprovat Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades), que ha suposat una important reforma de la normativa, apostant per l’establiment de regles uniformes, a fi de reforçar la seguretat jurídica i pràctica per a les persones físiques, els operadors econòmics i les autoritats públiques (Considerant (7)). Es tracta d’una norma que és sensible al Big Data, com es desprèn del seu Considerant (6), de manera que resultarà un marc especialment rellevant per a aquestes activitats, des del moment de la seva entrada en aplicació, el 2018.

Abans de prosseguir cal dir que la condició essencial perquè s’apliqui la normativa és que es realitzi un tractament referit a dades de caràcter personal, sent molt rellevant, per al concepte legal de dada personal, que té la “identificabilitat”, ja que en la mesura que una dada no es pugui vincular de cap manera una persona, el mateix no serà considerat com a “dada personal” i, a tenor del que disposen l’article 2.1 de la LOPD i l’article 2.1 del RLOPD, no s’aplicarà aquest règim legal.

Cal, per tant, qüestionar-se si les macrodades són o no dades de caràcter personal, en el sentit de la normativa anteriorment ressenyada, una cosa que dependrà – com és lògic – de les dades tractades: fotografies o atributs de xarxes socials, mesuraments de salut o d’un altre tipus obtinguts d’apps, identificadors de xarxa o d’aplicació, dades de consum o de transacció, etc. seran indubtablement dades personals quan els mateixos es refereixin a persones físiques, fins i tot encara que resulti en algunes ocasions complex vincular-los a una identitat física concreta, perquè n’hi ha prou amb la possibilitat d’establir aquest vincle, encara que requereixi un important esforç en termes pràctics.

Les dades personals poden deixar de ser-ho, als efectes de l’aplicació de la normativa de protecció de dades, en cas que el vincle entre les dades i la persona es trenqui de forma definitiva, ja que ja no seran referits a una persona física identificada o identificable, cosa que ha vingut a denominar “dissociació” o “anonimització”.

En aquest sentit, l’article 11.6 de la LOPD permet la comunicació de dades, sense consentiment, un cop els mateixos han estat dissociats, i també el Reglament (UE) 2016/647 considera que “els principis de la protecció de dades s’han d’aplicar a tota la informació relativa a una persona física identificada o identificable”, especificant que “les dades personals seudoanonimitzades, que es podria atribuir a una persona física mitjançant la utilització d’informació addicional, s’han de considerar informació sobre una persona física identificable”. Per això, prossegueix el Reglament, “per determinar si una persona física és identificable, s’han de tenir en compte tots els mitjans, com la singularització, que raonablement pugui utilitzar el responsable del tractament o qualsevol altra persona per identificar directament o indirectament a la persona física”, establint un criteri acceptable en relació amb “l’esforç” de dissociació.

El Grup de Treball de l’Article 29 de la DPD ha analitzat extensament, al seu Dictamen 5/2014, sobre tècniques d’anonimització, adoptat el 10 d’abril de 2014, la dissociació o desidentificació de les persones, a partir de quatre característiques essencials; a saber, que l’anonimització pot ser el resultat d’un tractament de dades personals realitzat per impedir de manera irreversible la identificació de la persona interessada; que poden considerar diverses tècniques d’anonimització, sense que la legislació europea contingui cap norma prescriptiva; que cal donar importància als elements contextuals: s’ha de considerar “el conjunt dels mitjans que puguin ser raonablement utilitzats” per a la identificació per part del responsable del tractament o d’un tercer, prestant especial atenció al que s’entén, en l’estat actual de la tècnica, com “mitjans que puguin ser raonablement utilitzats” (donat l’increment de la potència dels ordinadors i de les eines disponibles); i que l’anonimització porta implícit un factor de risc que ha de tenir-se en compte en avaluar la validesa de les tècniques d’anonimització, inclosos els possibles usos de les dades “anonimitzades” mitjançant aquestes, a més de considerar-se així mateix la gravetat i probabilitat del risc.

Per al Grup de Treball, s’han d’avaluar qualsevol tècniques d’anonimització – en general basades en l’aleatorització i en la generalització, a la llum dels riscos clau de singularització, vinculabilitat i inferència, per a triar les que impedeixin la futura reidentificació.

Per la seva banda, el Supervisor Europeu de Protecció de Dades (SEPD) proposa un ecosistema de protecció de les macrodades consistent en organitzacions més transparents respecte a la gestió de dades personals que realitzen; individus que es beneficiïn d’un major grau de control sobre l’ús de les seves dades; el disseny de la protecció de dades personals en els productes i els serveis; i l’increment de les rendició de comptes dels responsables dels tractaments de macrodades personals.

Com es pot veure, en l’àmbit del Big Data o macrodades, es requereix una detallada i seriosa reflexió sobre les pràctiques a adoptar en relació amb la protecció de les dades personals, incloent molt especialment aquelles de desidentificació – que exclouran les dades de la aplicació posterior de la normativa, sempre que les tècniques emprades impedeixin la reidentificació -, i en cas contrari, construir sobre el compliment de la normativa, entenent que una millor praxi, amb un alt component ètic, és realment un element de generació de confiança i valor, abans que un risc legal.

En aquest sentit, millors pràctiques en la informació prèvia i en l’obtenció del consentiment, i una major transparència en els usos secundaris, així com un règim d’autoexclusió incondicionat, esdevenen elements essencials per a una relació equilibrada amb les persones les dades tractem: en definitiva, si les dades dels nostres clients, especialment els que generem de forma col·lateral en la nostra relació de negoci amb ells, són un actiu més, clarament s’han de gestionar sense detriment dels drets i llibertats fonamentals, amb plena rendició de comptes i en una relació mútuament beneficiosa.

Amb aquesta lògica, resultaran de particular valor les tècniques d’autorregulació sectorial, mitjançant codis de conducta que permetin establir unes regles del joc respectuoses amb la protecció de dades, i alhora impulsores de l’economia de les dades.

 

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Do NOT follow this link or you will be banned from the site!