Big Data y la reformulación de la privacidad.

El novedoso fenómeno del Big Data ha generado preocupación acerca de los importantes efectos e impactos que genera sobre la privacidad de los titulares de los datos que lo conforman.

El reciente empoderamiento atribuido al derecho de privacidad  ante los nuevos tiempos digitales hace necesario recapitular acerca del impacto que esta nueva dimensión a otorgar al derecho de privacidad puede llegar a incidir sobre el Big Data como manifestación de la monetización de bases de datos personales.

Desde el surgimiento de las revelaciones de Snowden ha comenzado un redimensionamiento del derecho de privacidad que el futuro vendrá a confirmar si se trataba de una tendencia pasajera o la readecuación del ámbito de la privacidad a los tiempos digitales que nos toca transitar.  

Esta nueva formulación del derecho de la privacidad se ha puesto de manifiesto en muchos y recientes pronunciamientos judiciales relevantes a ambos lados del Atlántico así como por el reporte del Alto Comisionado de Derechos Humanos de las Naciones Unidas “Derecho de privacidad en la era digital”.[1] La Casa Blanca también recientemente ha efectuado un análisis acerca de la privacidad en relación al Big Data.[2]

Dentro de los recientes pronunciamientos judiciales vinculados a la temática en cuestión, en los Estados Unidos el reciente fallo de la Suprema Corte “Riley vs California”,[3]  ha considerado a lo digital como algo diferente, al entender que los teléfonos modernos generan un volumen de datos privados que requieren una mayor protección que otras fuentes no digitales de información personal. Ante lo cual la noción de privacidad aplicable a los datos analógicos no resulta suficiente para proteger datos digitales frente a búsquedas que realicen las autoridades sin la respectiva orden judicial de allanamiento. En tanto que en Canadá la Corte Suprema en el  caso “R vs Spencer, 2014 SCC 43”[4]  se pronunció a favor del derecho de anonimato en Internet como parte del derecho de privacidad de los cibernautas que se condice con el reciente abandono de Google de su política de exigir identificaciones reales.   

Por su parte en la Unión Europea, el Tribunal de Justicia de la Unión Europea emitió diferentes pronunciamientos recientemente con  incidencia sobre el derecho de privacidad. En el caso “Digital Rights Ireland y Seitlinger y otros” se determinó la importancia de los metadatos en la era digital y su influencia en la privacidad de las personas.  En tanto que en Google Spain, S.L., Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González[5] se pronunció a favor del derecho al olvido como parte del derecho de privacidad prevaleciendo sobre el derecho de información y de libertad de expresión, considerando a tales efectos a “la actividad de un motor de búsqueda como de «tratamiento de datos personales», cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento. El derecho al procesamiento de los datos por los recolectores se ha visto debilitado en este caso frente al reconocimiento judicial respecto al derecho del reclamante a tener control sobre el uso de sus datos personales.  Ese derecho a controlar los datos personales ha alcanzado una nueva dimensión consistente en el derecho de portabilidad de los datos personales, permitiendo el reuso de datos a través de aplicaciones compatibles operativamente, pudiendo, por ejemplo, traspasar todos los datos personales de aquellos interesados de una red social a otra.

Al mismo tiempo este fortalecimiento de los derechos de los datos personales de los iniciadores del primero paso de la cadena de Big Data impacta en los usuarios finales del Big Data, al generarles contingencias legales junto a los procesadores de los datos frente al empoderamiento que ha recibido el derecho de protección de los datos personales y la privacidad.

El Big Data importa un análisis y desarrollo de una inmensidad de datos, a través de fórmulas y algoritmos sofisticados, que han sido recolectados, en forma cruda, de gran cantidad de fuentes y brindando a cambio información y conocimiento de un importante valor económico. Los datos recolectados de Internet, una de las  principales fuentes de donde se capturan los datos crudos, se obtienen prácticamente en forma gratuita, o como contraprestación por el uso de determinados servicios o aplicaciones en Internet, como los buscadores o las redes sociales.    

En principio, los datos obtenidos tienden a ser anónimos o desasociados de la persona de las cuales se recolecta, sin embargo frente a los procesos de re identificación de datos anónimos renacen las preocupaciones sobre la protección jurídica a ser otorgada a dichos datos, por pasar a tratarse de información personal. A los fines de dimensionar cabalmente este proceso, se debe tener en cuenta que se puede identificar a una persona con geo localización y sensores por más que no se mencione su nombre.

           

Las normas a las que estamos acostumbrados de privacidad han sido pensadas y diseñadas para una era analógica, y a medida que cada vez nos entremos más en una era mayormente digital empiezan a surgir las primeras inconsistencias frente a principios vetustos y no compatibles en una realidad tecnológica más evolucionada, como la era digital. El Big Data no es ajeno a esta problemática.  Su presencia cada vez más generalizada ha desafiado los marcos tradicionales de protección de la privacidad propios de la información personal, generando una necesidad imperiosa de establecer mecanismos de auditoría y control para verificar las políticas de protección de privacidad aplicables en cada uno de los eslabones de la cadena de traspaso de datos entre los diferentes sujetos que conforman el proceso económico del Big Data.

            Los  sujetos habituales en la cadena que conforma el Big Data son: i) el originador del dato personal, por ejemplo el usuario que completa un formulario en una red social o realiza una búsqueda a través de un buscador en Internet; ii) el recolector de dichos datos; iii) procesador de los datos como pueden ser los brokers o analistas que le aplican a esos datos el poder de algoritmos o de programas informáticos que permitan convertir a dicha gran cantidad de datos disociados en datos con un valor económico por su utilidad; y iv) los usuarios de los datos enriquecidos que los compran para utilizarlos.

           

La referida cadena de traspasos de datos conlleva determinados riesgos legales que amerita el adecuado análisis y encuadramiento de las normas de privacidad a las que se encuentran sometidas los datos en cada una de las etapas. A mayor volumen y sensibilidad de datos que se procesen, mayor es el grado de diligencia a aplicar en las etapas de procesamiento.

Detallamos alguno de los parámetros que pueden aplicarse, sin ánimo de considerar agotadas todas las consideraciones pasibles de estar involucradas en esta nueva dimensión de transacciones:

i) Distinguir si la naturaleza de los datos involucrados es pública o privada. No resultando tan claro en muchos casos los límites que pueden resultar aplicables.  Si se trata de datos de naturaleza sensible. El procesamiento de datos requiere de un título legal (como puede ser el consentimiento informado del titular del dato personal). Exclusión de situaciones que no son títulos válidos, como pueden ser las pre configuraciones automáticas en línea (seteos por default on line).

ii) Las redes sociales (basta recordar el incidente originado frente al cambio de política de privacidad de Facebook) y los buscadores como recolectores cuentan con políticas de privacidad, a las cuales se comprometen en su relación con los originadores de los datos.

iii) Analizar el alcance de las garantías emitidas por cada uno de los eslabones de la cadena, acerca de: a) si los datos son completos y exactos; b) cumplimiento de políticas de privacidad y al uso comprometido a ser brindado a los datos; c) acatamiento a marcos jurídicos específicos adicionales que le pueden resultar aplicables como defensa del consumidor y propiedad intelectual.

iv) Asignación de responsabilidades sobre seguridad y control de los datos no sólo durante la vigencia del contrato sino una vez terminado el mismo.

v) Definir el derecho aplicable y las jurisdicciones involucradas en cada transmisión de datos. 

            Este redimensionamiento del derecho de privacidad viene a poner equilibrio al desafío y riesgo a los que son sometidos los derechos humanos de aquellos involucrados, en muchos casos involuntariamente,  en el Big data.

Más cuando el Big Data presenta una naturaleza discriminatoria y excluyente, por tratarse de datos recolectados y provenientes de personas que están activas on-line, ya sea por comprar en Internet, porque tienen un celular, por formar parte de las redes sociales, pero excluyendo y no considerando a aquellos que no tienen interacción. El Big Data como procesamiento de datos tendientes a observar tendencias económicas, sociales o políticas para prevenir shocks puede también llevarnos fácilmente a un estado de vigilancia, como puede suceder con cualquier ciencia que lidia con datos.

Frente a la imperiosa necesidad de seguir resguardando tanto la privacidad como los datos personales de aquellos que han sido captados con motivo de su participación en actividades de naturaleza digital, no se admite como alternativa válida abandonar el uso de herramientas sumamente valiosas por crear valor por el simple contacto con personas o por el acceso a la información. Sin embargo lo que debe primar es el refuerzo de las exigencias de claridad y transparencia a aplicar en cada uno de los eslabones de la cadena del Big Data, no sólo para garantizar la legalidad del insumo utilizado en las etapas del proceso sino para brindar también seguridad jurídica a las inversiones que se destinen a esta nueva expresión de actividad económica.

La información que parece merecer la mayor protección es aquella que se origina, en Internet como contenido generado por el propio usuario, ya sea a través de su participación en redes sociales o sus metadatos (geolocalización del celular). Sin dejar de olvidar que Internet está próxima a adoptar una nueva dimensión, en la cual se va a generar gran cantidad de información, aunque de otro tipo, por referirse a actividad de máquinas automatizadas a través de Internet. Es lo que se conoce como Internet of Things o en español Internet de las Cosas.  No obstante la información brindada por una máquina va a tener cierta relación respecto al sujeto que figura como titular de la máquina cuya información se analiza. Para determinar el grado de protección a otorgar a la  privacidad de información generada por la máquina se puede acudir a la noción de expectativa de privacidad, creada por la jurisprudencia americana, que puede pretender el titular o responsable de dicha máquina.  Frente a la evolución del régimen de responsabilidad civil respecto a la actividad de máquinas por Internet, sin dudas va necesitar contar con apoyo en el análisis de la evidencia de dicha información para la atribución de las respectivas responsabilidades en forma rápida.

---

[1]http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session27/Documents/A.HRC.27.37_en.pdf

[2] http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_may_1_2014.pdf

[3]

http://www2.bloomberglaw.com/public/desktop/document/Riley_v_California_

No_13132_and_13212_US_June_25_2014_Court_Opini

[4] http://scc-csc.lexum.com/scc-csc/scc-csc/en/item/14233/index.do

[5] http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130dec6e19d136acd40898366f02360ccc2d8.e34KaxiLc3eQc40LaxqMbN4Ob30Me0?text=&docid=153853&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=79427