Sinergia Mobile Day Barcelona. Una reflexión sobre la protección de datos y las nuevas tecnologías
5 marzo, 2020El pasado 27 de febrero se celebró el SINERGIA MOBILE DAY BARCELONA. Una jornada sobre los últimos avances de las nuevas tecnologías en el mercado catalán. El acto fue organizado por Sinergia, MWCB y la Generalitat de Catalunya.
En un formato dinámico, con presentaciones de 15 minutos, los ponentes hablaron de sus últimos proyectos, todos ellos a la vanguardia de las nuevas tecnologías. Se habló de Inteligencia Artificial (IA), Big Data, tecnología IoT, 5G, Computación Quántica, Smart Cities, Drones, Cloud Computing y Blockchain, así como de la figura del Delegado de Protección de Datos y la privacidad en la revolución de las TIC.
Sin duda alguna, las revolucionarias innovaciones que tienen lugar en el ámbito de las TIC, están modificando las relaciones sociales, servicios empresariales y entidades públicas a través de la interconexión digital, reinventando su estructura y generando cantidades de datos que resultan activos de un enorme valor en nuestra economía y mercado actual.
Todo ello ofrece enormes beneficios y oportunidades como, por ejemplo, potenciar la investigación científica, mejorar eficacia y eficiencia en los modelos de negocios, crear una mayor y más rápida interconexión entre consumidores y empresas, aumentar seguridad por parte de las autoridades, facilitar el acceso a la información y a nuevos servicios tecnológicos, crear nuevas maneras de disfrutar el ocio y la cultura, etc.
No obstante, también implica riesgos para la privacidad de los usuarios y la protección de sus datos personales. Por ejemplo, imaginemos que el Big Data, junto con tecnologías de IA aplicada, permitiera a los seguros médicos conocer el historial de salud de un individuo para determinar de manera automatizada cual debería ser su prima del seguro de vida, o que una empresa de selección descarte candidatos en base a información sobre los locales que frecuentan los sábados por la noche, o que se pudiera denegar el acceso a un crédito porque se determina la insolvencia a partir de procesos automatizados aplicando algoritmos de aprendizaje.
Asimismo, imaginemos que las autoridades de una Smart City pudieran tener acceso a tu información por medio de estructuras 5G, provocando que como ciudadano temas poder ser escuchado o monitorizado y empieces a dudar sobre lo que puedes o no decir en tus conversaciones privadas. En este caso se estaría vulnerando ya no sólo tu privacidad sino también tu libertad de reunión y expresión. O, por ejemplo, supongamos que las empresas entienden y examinan tu comportamiento en las redes de tal manera que detecten tus distintas vulnerabilidades para manipular tu opinión política a través de contenido personalizado y automatizado. Imaginemos drones sobrevolando la ciudad en la que pueden fotografiarte en cualquier momento. O pensemos en nuestros datos permanentemente en una red Blockchain que jamás podrá ser eliminada. ¿O qué pasaría si el servicio de cloud computing dónde guardas tus fotografías más personales es hackeado y estas quedan expuestas, siendo víctima de ciberacoso o sexting?
Todo ello han sido sólo algunos ejemplos de lo que puede, o, de hecho, lo que ya ha ocurrido en numerosos casos. Es cierto, y no cabe duda, que las nuevas tecnologías que aparecerán en el mercado generan numerosos beneficios para la sociedad, sin embargo, también existen claros riesgos respecto a la privacidad, protección de datos personales y seguridad de la información.
Entonces, ¿esto quiere decir que no debemos utilizar dichas tecnologías? No, lo que quiere decir es que debemos tener en cuenta dichos riesgos y mitigarlos antes de que la tecnología quede insertada y desarrollada en el mercado, provocando daños irreparables o de muy difícil reparación. ¿Cuál es la solución? La respuesta apareció en el Sinergia Mobile Day. Como bien indicó Esther Noda, especialista en protección de datos y socia-fundadora de la consultoría Datax, muchas de estas cuestiones serian evitables aplicando la privacidad y protección de datos personales desde el diseño y por defecto desde el momento 0.
En la Unión Europea (UE), el tratamiento de datos personales queda gobernado por el ya conocido Reglamento General de Protección de Datos Personales (RGPD). El RGPD tendrá que determinar cómo las presentes y nuevas tecnologías pueden asentarse en el mercado digital de la UE y, como sociedad y economía, nos podamos beneficiar de la revolución digital. Todo ello salvaguardando los derechos y libertades fundamentales de los interesados, esto es, la privacidad y la protección de sus datos personales.
El Principio de Licitud del tratamiento de los datos es uno de los principios fundamentales que deben salvaguardar, por ejemplo, el IA combinado con el Big Data o el IoT y las Smart Cities. Ello implica que el tratamiento de datos sea transparente con el interesado (la persona debe saber cómo y para qué sus datos son tratados), así como contar con una base de legitimación para dicho tratamiento, por ejemplo, su consentimiento.
Asimismo, el Principio de Limitación de la finalidad, también recogido en el RGPD, implica que los datos personales no puedan ser tratados para finalidades distintas a las previamente descritas y legitimadas, a no ser, que se apliquen garantías y medidas técnicas y organizativas adecuadas. Por ejemplo, la anonimización de los datos, medida muy a tener en cuenta en el Big Data y Blockchain.
Por otro lado, el RGPD exige que se respete un Principio de Seguridad de los datos, de modo que se instalen las medidas de seguridad pertinentes para evitar, entre otros, la manipulación, acceso, pérdida o destrucción de datos de manera ilícita. Por ello, ya no sólo serán necesarias medidas de seguridad informáticas y tecnológicas (como antivirus, antifishing, backup, contraseñas, etc.), o la firma de los debidos contratos de Encargado del Tratamiento, sino que la formación de los trabajadores de las organizaciones resulta imprescindible para el correcto cumplimiento del RGPD.
La normativa europea también obliga a las empresas tecnológicas a que no se recojan más datos que los estrictamente necesarios para cumplir con la finalidad perseguida (Minimización de los datos). En el caso de proyectos Big Data, por ejemplo, implicará una clara y previa estructura organizativa.
Por otro lado, de acuerdo al RGPD, resulta imprescindible dotar al interesado de mayor control de sus datos personales, de manera que puedan satisfacerse sus derechos (de acceso, modificación, portabilidad, limitación o supresión), y que sus datos sean exactos y no conservados indefinidamente. Este aspecto genera claros riesgos en las tecnologías Blockchain si no se instalan las garantías suficientes.
Igualmente, el Principio de Responsabilidad Proactiva implica que ya no sólo se debe cumplir con la ley, sino que la organización debe de ser capaz de demostrar que cumple con la normativa de protección de datos personales y seguridad de la información. Ello implica un seguido de actuaciones y conservación de pruebas y evidencias, de extrema importancia en el sector de la TIC.
Estas son sólo algunas de las implicaciones y obligaciones que tienen, y van a tener, las empresas y entidades de carácter tecnológico. Siendo todo ello, tal y como Esther Noda nos indicaba, imposible de cumplir si no se respeta el principio de privacidad desde el diseño y por defecto, lo que implica contar con el debido asesoramiento desde una fase inicial, y no cuando la tecnología ha quedado ya implementada y desarrollada.
En relación a lo anterior, la figura del Delegado de Protección de Datos (DPD o DPO en inglés) cobra especial importancia ya que es la personalidad que se encargará de salvaguardar dicho principio y garantizar, junto con los asesores legales en materia de protección de datos y seguridad de la información, el correcto desarrollo de las tecnologías, sin vulnerar el cuerpo normativo vigente.
Asimismo, el RGPD nos dota de una herramienta específica, la Evaluación de Impacto (EIPD o DPIA de sus siglas en inglés), para determinar los potenciales riesgos generados por la aplicación concreta de una tecnología, con la finalidad de mitigarlos en una fase previa a su lanzamiento. Si bien es cierto que el Reglamento Europeo no nos obliga a realizar una DPIA en todos los casos, la previa elaboración generará una confianza en el mercado y en los futuros clientes y consumidores de dichas tecnologías. Resulta evidente que una Evaluación de Impacto es una garantía de que un determinado proceso tecnológico cumple con lo dispuesto en la normativa y no genera riesgos acumulados.
En conclusión, es notoria y evidente la implicación e interrelación entre la protección de datos personales, la seguridad de la información y las nuevas tecnologías. Todas ellas deben ir de la mano desde sus fases iniciales, respetando el principio de privacidad y protección de datos personales desde el diseño y por defecto.
Efectivamente, el RGPD no es un obstáculo a las nuevas tecnologías, sino todo lo contrario, es la garantía y el propulsor de un correcto desarrollo de éstas en el mercado. No existe otra fórmula que la de encontrar vías legales seguras, desde un primer momento, que permitan sustraer los máximos beneficios de dichas tecnologías sin vulnerar o menoscabar la privacidad y la protección de los datos personales de los usuarios.
Javier de Zea
Abogado especialista en protección de datos
¿NECESITAS ASESORAMIENTO EN PROTECCIÓN DE DATOS?
En Datax somos especialistas en ayudar a las empresas a cumplir las normativas vigentes de protección de datos: el RGPD, la nueva LOPDGDD y la LSSICE. Nuestro equipo está formado por abogados e ingenieros de sistemas expertos en privacidad y nuevas tecnologías.
Infórmate sobre nuestro servicio personalizado en info@datax.es o en el 93 754 06 88.