A nadie se le escapan las ventajas y oportunidades que el tratamiento masivo de datos (personales o no) pueden tener en nuestra sociedad y su infinidad de aplicaciones: desde algo tan cotidiano como evitar los atascos de tráfico como la previsión de situaciones de desabastecimiento en los mercados, la demanda de determinados productos, la incidencia de determinadas enfermedades o la mejor satisfacción de los intereses de nuestros clientes.
De la observación de los datos a gran escala se pueden extraer conclusiones y adoptar decisiones.
El problema es cuando estos datos no son anónimos sino que son el conjunto de todos nuestros datos, pensemos por ejemplo, en nuestros historiales clínicos: sabiamente utilizados se podrían hacer análisis de los riesgos de determinadas enfermedades en según qué población y perfiles, anticipándose a su aparición y aplicando la medicina preventiva y optimizando los recursos, que siempre son escasos. No conviene demonizar el Big Data, todo lo contrario…Sin embargo, también los riesgos pueden ser elevados si dichos datos caen en las manos inadecuadas.
Aunque a menudo no son necesarios los datos que permitan identificar unívocamente a las personas, si no se van a emplear medidas de anonimización, la observancia de los principios y obligaciones establecidas tanto en la Ley actual como en el Reglamento que viene, se hace imprescindible.
Centrémonos en uno de los apartados de este código en el que se abordan las principales implicaciones de los tratamientos big data en privacidad:
Puesto que las fuentes de los datos pueden ser diversas y cada vez existen mayor número de metadatos (información secundaria constituida por datos que califican a otros datos) habrá que tener presente, más que nunca los conceptos de Privaidad desde el Diseño y por Defecto y la realización de evaluaciones de impacto para ponderar los posibles riesgos que un tratamiento de datos a gran escala puede tener para la privacidad. En todo caso, el consentimiento es el primer principio de la protección de datos, a veces y en determinados casos, el más difícil de cumplir especialmente con las nuevas premisas del RGPD.
A nuestro juicio, uno de los principios más importantes en el tratamiento de datos y muy vinculado al consentimiento. Los tratamientos y sus responsables tienen que ser transparentes y facilitar al ciudadano toda la información sobre su actuación y sus datos sin que ello suponga en ningún caso un obstáculo al funcionamiento del mercado. Si se informa antes de realizar el tratamiento, el consentimiento tendrá las garantías adecuadas y las bases del tratamiento serán sólidas.
Puesto que los riesgos pueden derivar de que los datos se utilicen para fines distintos, estén desactualizados o sean incorrectos, el ejercicio de los derechos ARCO no sea factible o se tomen decisiones sobre datos inexactos, las recomendaciones son:
Además de los derechos ya conocidos (acceso, rectificación y cancelación) el RGPD articula nuevos derechos: limitación, portabilidad y oposición así con el de decisiones individuales automatizadas.
El interesado puede oponerse al tratamiento siempre y cuando se haya adoptado una decisión exclusivamente automatizada, p.e. negar un crédito a una persona por un perfil de riesgo basado exclusivamente en el cruce de información.
Este derecho no será posible si dicha decisión es necesariara para la celebración o ejecución de un contrato entre un interesado y un responsible del tratamiento o se base en el consentimiento explício del interesado (pensemos por ejemplo en las Fintech en las que el propio interesado se somete a dichas decisiones).
Como podemos apreciar en esta parte del código, se pretende concienciar y orientar al sector Big Data hacia el cumplimiento del RGPD bajo parámetros de proactividad, transparencia y máximo respeto a la voluntad de los individuos formulada a través del consentimiento y posteriores derechos.
En los próximos posts seguiremos desmenuzando estas guías que tan útiles nos resultan para enfocar el cumplimiento de la legislación que se nos viene encima.
Paz Martín
