DATOS PERSONALES EN EL BIG DATA


Cada vez hay mas dispositivos electrónicos conectados a redes de comunicación, más información generada por los usuarios que manejan estos dispositivos electrónicos, mas datos que se recaban de sensores o medidores sin necesidad de una acción directa de los usuarios y hasta las cosas conectadas que transmiten información en el denominado Internet de las cosas.

Captura de pantalla 2015-04-22 a las 9.46.18

Se almacenan y analizan estos datos masivos o macrodatos procedentes de muy distintas fuentes, los del negocio, meteorológicos, enfermedades contagiosas, agricultura, crímenes, deportes, redes sociales etc. Pudiendo obtener con el análisis de estos datos masivos información útil y beneficiosa para predicciones meteorológicas, perseguir delitos, cultivos que producir, mejoras deportivas, hábitos de consumo y cualquier otro información que con las acciones de Big data (captura, almacenamiento, procesamiento, análisis y presentación de los datos) se pueda obtener.
La dificultad en cuanto al procesamiento de todos estos datos masivos ha ido disminuyendo gracias a los avances tecnológicos, en la capacidad de almacenamiento, no existiendo ahora limitaciones para guardar los millones de bytes, y la mejora en las herramientas informáticas, que permiten transferir mas información en menos tiempo y a procesarla con menos coste. Y junto con el incremento de los dispositivos electrónico que han multiplicado el volumen de datos que se generan, se puede obtener una información valiosa con todos estos datos y las empresas están cada vez mas interesadas en realizar estos procesamientos de Big data.
Actualmente se recaban y almacenan datos de los usuarios a través de las redes sociales como Facebook y Twitter, el email, las herramientas de mensajería como el WhatsApp, los documentos, imágenes y videos creados y transmitidos, así como los publicados en Youtube, Instagram, los metadatos de estos archivos, etc. También se generan datos de las comunicaciones y conexiones realizadas, las transacciones económicas, las búsquedas realizadas en los buscadores, la navegación por los sitios web, el uso de las aplicaciones informáticas, junto con los diferentes sensores que vuelcan información sobre posicionamiento a través de las conexiones, el WiFi, GPS o RFID, datos de temperatura, altitud, presión, luz. Se obtienen millones y millones de datos de diferentes fuentes de que son transmitidos, almacenados, transformados y analizado y con los que se puede obtener información.
En cuanto al manejo de todos estos datos masivos y su utilización se plantea la duda de la intimidad y privacidad de las personas, dado que si muchos de estos macrodatos pueden proceder de sensores o con información que no tienen relación con personas, como puede ser los datos meteorológicos, los de agricultura, tráfico rodado, enfermedades y otros muchos. Si hay otros datos almacenados y analizados que están relacionados con las personas. En este caso y para diferenciar cuando estos datos masivos pueden verse afectados por la intimidad y la privacidad se deberá determinar si son o no datos personales. Para ello, y según la normativa sobre protección de datos, estaría la diferencia, entre dato personal o no, cuando con estos datos se puede identificar a una personas físicas, si es así y con estos macrodatos, por ejemplo, el nombre, dirección, número del carnet de identidad, cuenta bancaria, número de teléfono, IP, MAC, etc. se puede identificar a una persona física se estarían manejando datos personales y se debe tener en cuenta la intimidad y privacidad de las personas cumpliendo con la normativa sobre el tratamiento de los datos de carácter personal.
Puede también suceder que estos datos masivos, al recabarlos, no hagan posible la identificación de una persona, no teniendo entonces que cumplir la normas sobre protección de datos personales. Pero luego tras su almacenamiento, transformación, análisis y presentación mediante el Big data si pueda, identificar a una persona. Estaríamos en este caso con macrodatos que sin identificar a una persona si la hacen identificable. Teniendo en este caso también que someter el manejo de esta información a las exigencias en cuanto al tratamiento de datos de carácter personal. Salvo, eso sí, que los datos o información resultante tras realizar las procesos de Big data con los macrodatos, no necesiten ser o estar relacionados con personas. Se podrá entonces disociar los datos o convertir en anónimos y así no identificar o hacer identificable a una nadie, no teniendo que garantizar la intimidad y privacidad de las personas.
En el caso de utilizar datos personales al realizar el Big data las exigencias de intimidad y privacidad impuestas por la normativa sobre protección de datos, obligan a establecer medidas y procedimientos a la hora de almacenar, transformar, analizar y presentar los macrodatos, para cumplir con los principios y derechos de la ley de protección de datos. Uno de estas obligaciones será la de informar a las personas de la realización de estas acciones del Big data con sus datos personales. Algo que podremos realizar si las personas cuyos datos manejamos son clientes o usuarios con los que tenemos o mantenemos relación y a los que podremos comunicar la intención de realizar con la macrodatos estos tratamientos del Big data. Pero si con las personas de quienes recabados los datos masivos no tenemos relación o posibilidad de contacto, será difícil trasladarles la intención de realizar Big data con su datos personales.
Otra de las exigencias en cuanto al tratamiento de los datos personales, es la obligación de obtener el consentimiento o autorización de las personas para poder llevar a cabo estos tratamientos con sus datos masivos. Salvo eso sí, que por la relación que se mantiene con estas personas o la existencia de alguna norma, no estemos obligados a obtener esta autorización, en tal caso solo tendremos que informar de la intención que tenemos de realizar Big data con sus datos personales. El problema de la obtención de esta autorización o consentimiento para realizar este procesamiento de los datos masivos es el mismo que surge con la obligación de informar. Si hay relación con la persona por ser cliente o usuario se podrá contactar con ella para que autorice estos tratamientos con el Big data, en caso contrario será muy complicado recabar su consentimiento. Y puede que al solicitar el consentimiento alguien no autorice, entonces se deberán excluir sus datos del procesamiento con el Big data, algo que puede ser imposible cuando se manejan datos masivos y en la obtención de éstos no se puede discriminar de quien si y de quien no se debe procesar sus datos mediante Big data por que hayan o no autorizado estas acciones.
Cuando los macrodatos que se generan proceden de nuestros propios sistemas o de los servicios que prestamos a clientes o usuarios propios, no se produce la cesión o comunicación de información de otras fuentes. Pero si los datos masivos procede de terceros, bien porque son ellos mismos quienes nos los facilitan, o porque nosotros recabados esta información de herramientas o servicios de terceros, se deberá tener en cuenta esta cesión o recogida de datos de otras fuentes. Así por ejemplo si nos ceden estos macrodatos con datos personales otra empresa, se deberá contar con el consentimiento de estas personas para ceder estos datos. Y si somos nosotros quienes recabamos estos datos personales de servicios o herramientas de terceros, por ejemplo las redes sociales, buscadores, págínas web, etc., deberemos contar con el consentimiento de estas personas para almacenar estos datos y procesarlos con el Big data, ya que por el hecho de que sean accesibles estos datos a través de las redes sociales, buscadores, webs no le exime, para quien los almacene y los trata, de tener que recabar el consentimiento.
En cuanto a la información o datos resultantes tras llevar a cabo el acciones del Big Data, se pueden obtener información de todo tipo y entre ella datos sobre el rendimiento laboral, hábitos de consumo, predicción de conductas e inclusión aspectos de la personalidad. En estos caso en los que se obtiene por un proceso informático este tipo de datos relativos a la personalidad o la conducta y el uso de estos datos puede utilizarse para tomar una decisión, como puede ser la contratación laboralmente, el coste de un seguro o la prestación de un servicio en unas determinadas condiciones, la normativa de protección de datos contempla el derecho para las personas a oponerse que le afecten estas decisiones tomadas a raíz de una información obtenido de un procesamiento informático. Salvo que la propia persona sometida a la decisión que se tome a partir de unos datos procedentes de un proceso informático, haya sido informada y exista un contrato a celebrar o ejecutar.
El manejo de estos macrodatos en donde se traten datos personales deberá contar con las garantías de seguridad establecidas por la normativa de protección de datos. Y según que tipo de datos se almacenen para las acciones del Big data, se deberán aplicar unas u otras medidas de seguridad. Inicialmente y en el momento de manejar un dato de carácter personal se deberán implantar las medidas de seguridad básicas establecidas en la normativa sobre protección de datos, pero cuando con estos datos, por el volumen de información, se pueda obtener una aspecto de la personalidad o del comportamiento de las personas, entonces pasaremos al nivel medio de seguridad a implantar. Y si la información que se recaba en los macrodatos contiene datos personales de salud, de ideología, origen racial o vida sexual se deberán implantar las medidas de seguridad del nivel superior contempladas en la normas de protección de datos.
Medidas de seguridad a implantar en los datos masivas tanto por las propias empresas que realicen el Big data como por los proveedores que presten servicios de captura de la información, la transformación de los datos, su almacenamiento y el análisis a favor de la empresa. Y sin descuidar que estos macrodatos pueden estar siendo transferidos a diferentes lugares para realizar estas acciones del Big data, bien porque los proveedores de estos servicios se encuentran en el extranjero, o porque se utiliza el Cloud para algún proceso del Big data, y los servidores que prestan el Cloud se encuentra ubicado en terceros países. Tendremos que tener encuentra las posibles transferencias internacionales de datos y cumplir las exigencias de la normativa sobre el tratamiento de datos de carácter personal para llevar a cabo dichas transferencias internacionales.
Los avances tecnológicos facilitan el manejo de los millones de datos que se generan y realizando procesos de Big data se puede obtener información útil para tomar decisiones o mejorar los procesos, productividad y gastos, teniendo en cuenta que este procesamiento de los datos cuando se maneje información personal no debe dejar de lado la intimidad y la privacidad de las personas.

Gonzalo M.Flechoso
Abogado-CISA