Implicaciones Éticas en el Uso de los Datos Personales

Beatriz Alonso

d&a blog

Hace apenas dos meses, el CTO de Facebook, Mike Schroepfer, a través de un comunicado, reconocía que “los datos de más de 87 millones de personas habían podido ser compartidos de forma indebida con Cambridge Analytica”. Cambridge Analytica habría creado perfiles de personalidad en base a esos datos sustraídos indebidamente de la plataforma. La información podría haber servido supuestamente para influir en el resultado de la campaña presidencial de Donald Trump, perfilando al votante como consumidor de un producto (el candidato), lo que permitiría adecuar ese “producto” en base a los perfiles de personalidad generados con los datos de los usuarios.

Que Facebook, y otras aplicaciones que utilizamos a diario, utilizan nuestros datos con fines comerciales no es nada nuevo, el problema reside en cómo terceros pueden utilizar varias fuentes de datos para usos poco éticos. Muchas redes sociales ofrecen la posibilidad a las empresas interesadas de segmentar audiencias en base a preferencias explícitas que el usuario ha indicado, pero también usando la actividad del mismo. Pero los últimos acontecimientos han provocado la reapertura del debate acerca del uso responsable de datos, y la protección necesaria de los mismos tanto por parte de gigantes sociales como Facebook, como de otras organizaciones, dado que en muchas ocasiones, se puede revelar información sensible con el mero uso de sus aplicaciones o servicios.

El presidente de BBVA, Francisco González, insistió recientemente en la presentación del décimo libro de la colección anual que BBVA publica dentro de su proyecto OpenMind, en la necesidad de que exista una regulación específica “que establezca un marco de responsabilidad para los proveedores digitales respecto al mal uso de sus servicios. Y, sobre todo, que dé a las personas más derechos y control sobre sus datos. Debe ser una regulación que englobe a todos los países y a todas las industrias, incluyendo, claro está, la financiera”.

Este viernes, 25 de mayo de este año, entra en vigor el Reglamento General de Protección de Datos de la Unión Europea (GDPR), cuyo objetivo es dar a las personas más control sobre cómo se utilizan sus datos personales, ya que como veíamos anteriormente, muchas empresas intercambian el acceso a los datos de las personas para el uso de sus servicios. Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la Unión Europea espera mejorar la confianza en la economía digital emergente.

¿A qué nos referimos al hablar de datos personales?

Los datos personales son toda información relativa a una persona física, identificada o posiblemente identificable (directa o indirectamente). La Unión Europea ha ampliado sustancialmente la definición de datos personales en el marco del GDPR, y por ejemplo identificadores online o las direcciones IP ahora son ya considerados datos personales, así como la información económica, cultural o de salud mental, también se consideran información de identificación personal.

Cuando hablamos de datos anonimizados, estamos hablando de datos, que para su posterior análisis, han sido tratados de manera que no se relacione a un sujeto concreto con ellos, pero de igual forma, éstos también pueden estar sujetos a las reglas de GDPR, dependiendo de lo fácil o difícil que sea identificarlos.

Principios del nuevo Reglamento General de Protección de Datos

El artículo 5 establece los principios que deben seguirse en el procesamiento de datos. Muchos de estos principios afectan directamente al procesamiento de Big Data, e incluso antes, a los métodos de recopilación y retención de datos.

Los principios son los siguientes:

a) Legalidad, equidad y transparencia: A menudo, los usuarios no están plenamente informados y no están en condiciones de comprender correctamente la política de privacidad de los servicios (por ejemplo, de las apps) que recogen sus datos. El interesado debe, entre otras cosas, estar en condiciones de acceder fácilmente a la información relativa a sus datos, ponerse en contacto con el responsable de la protección de datos y conocer los métodos y fines del tratamiento.

b) Limitación de la finalidad: La persona que recoge los datos debe informar al interesado de las finalidades para las que se recogen los datos. Posteriormente, los datos personales sólo podrán ser tratados para estos fines y no podrán ser utilizados con objetivos distintos a los informados.

c) Minimización de datos: Sólo se pueden recopilar los datos personales que sean necesarios para los fines informados, es decir, no se puede recopilar información personal si no está estrechamente relacionada con esos fines. El objetivo es limitar la cantidad de datos personales tratados debe limitarse al mínimo posible.

d) Exactitud y actualización: Los datos deben actualizarse y rectificarse constantemente en caso de solicitud por parte de la persona interesada.

e) Limitación del almacenamiento: Los datos sólo pueden conservarse durante el tiempo necesario para su tratamiento. Pueden almacenarse durante períodos de tiempo más largos, en la medida en que los datos personales se traten únicamente con fines de archivo en aras del interés público, con fines de investigación científica o histórica o con fines estadísticos.

f) Integridad y confidencialidad: El responsable del tratamiento debe garantizar la seguridad adecuada de los datos personales mediante las medidas técnicas y organizativas adecuadas, incluida la protección contra el tratamiento no autorizado o ilícito, y contra la pérdida, destrucción o daño accidental.