Frente a todas las ventajas que ofrece a las empresas el uso de herramientas de tratamiento masivo de datos, el “big data” presenta graves riesgos para la privacidad de las personas. Es por ello que durante el tratamiento de estos datos deben respetarse unos principios y unas normas concretas marcadas por el ordenamiento jurídico, ya que de lo contrario podría conllevar graves consecuencias negativas tanto para los titulares de los datos, que verían vulnerada su privacidad, como para las empresas que los tratan, que podrían ser sancionadas por el incumplimiento de dichos principios y normas.
A pesar de que existen otros riesgos desde el punto de vista del negocio del big data, como son el alcance de conclusiones erróneas o la toma de decisiones importantes sin intervención humana, la defensa de la privacidad y la protección de datos es uno de los retos más importantes a los que se enfrenta el big data en la actualidad.
En este sentido, varias de las reflexiones que debería plantearse antes de comenzar el tratamiento de datos para estos fines, son las siguientes:
-
El primero de los retos es disociar las bases de datos siempre que sea posible. Aunque pueda
parecer algo obvio, ya que de esta forma no sería aplicable la normativa de
protección de datos, muchas empresas se resisten a anonimizar los datos ya que
desconocen las utilidades que se les podría dar en el futuro y, por tanto,
prefieren conservar los datos con sus titulares identificados o en su caso,
seudonimizados.
El propio Reglamento Europeo de Protección de Datos (RGPD) indica que cuando la empresa responsable no requiera la identificación de las personas titulares de los datos para el tratamiento de sus datos, no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir la normativa. -
Otro de los retos es que los datos personales
sean recogidos para el cumplimiento de fines
determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; por tanto, si podrán ser tratados
para finalidades diferentes siempre y cuando no resulten incompatibles.
El RGPD se pronuncia sobre el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, y establece que no se considerarán incompatibles con los fines iniciales, siempre y cuando se apliquen garantías adecuadas para proteger los derechos y las libertades de los interesados, por ejemplo, el cifrado y la seudonimización.
En ocasiones resulta complicado cumplir con estos principios ya que es difícil definir los datos que van a ser necesarios a priori, bien porque se desconocen todas las utilidades que se le van a dar, o bien porque no quieren eliminar esas posibilidades de explotación a futuro. Por tanto, se procede a una recogida masiva de datos, aunque no sean pertinentes para la finalidad del tratamiento que motiva su recogida. - Por otro lado, la normativa exige que los datos se conserven durante el tiempo estrictamente necesario para el cumplimiento de los fines para los que se recabaron. Ni que decir tiene que, si ya resulta complejo definir los fines con los que se van a tratar los datos a priori, establecer los plazos durante los que se van a mantener activos los datos es aún más difícil.
- Generalmente los datos provendrán tanto de fuentes propias de la organización, como de fuentes externas. Si las fuentes no son fiables, los errores se arrastrarán durante toda su vida útil; es por ello que, para garantizar la calidad de los datos, se suele acudir a los metadatos o información secundaria, lo que implica la recolección de mayor información, y, en consecuencia, se incrementa el riesgo de incumplir algún principio de la protección de datos.
-
La exigencia generalizada de la obtención del
consentimiento para realizar cualquier tratamiento supondría un obstáculo para
cualquier innovación que se quisiese impulsar, es por ello que el RGPD propone el fomento del principio de transparencia a
través del deber de información que debe cumplir el responsable. Entre otros
extremos, se deberá informar al interesado de la existencia de decisiones
automatizas, incluida la elaboración de perfiles, incluyendo la información
significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
De esta forma, la persona cuyos datos están siendo tratados a través de herramientas de big data, al ser conocedor de este extremo, podrá en cualquier momento oponerse a que sus datos sean utilizados para dicha finalidad, siendo obligatorio para la empresa dejar de utilizarlos cuando los destine a fines de mercadotecnia directa.
En virtud de todo lo comentado anteriormente, podemos concluir que el big data es un fenómeno en auge que puede presentar numerosas ventajas para las empresas y para los consumidores, ya que les permite a las primeras ofrecer productos más adecuados a los segundos, predecir determinados sucesos catastróficos para adoptar medidas que minimicen los daños, etc. No obstante, no se debe olvidar que los datos no deben ser utilizados por las empresas según sus apetencias, sino que deben estar basados en una causa lícita, y obedecer a un interés legítimo del responsable, sin vulnerar derechos y libertades de los individuos y siempre cumpliendo las cautelas expuestas anteriormente, de forma que las empresas siempre deban reflexionar a priori sobre la utilización de los datos para poder informar correctamente a los interesados.
