Logo Red Iberoamericana
BanderaFotografía decorativa
Castellano

"Big Data y fair play en el tratamiento de datos personales"

07/09/2015

Por Ilia Blanco Armenteros y Daniel López Carballo, abogados del Área de Information Technology de ECIJA.

A finales de los años noventa, John Mashey popularizaba en su “Big Data and the Next Wave of Infrastress” el término Big Data, haciendo referencia al ingente volumen de datos que podían llegar a ser analizados y tratados. Aquella idea hoy es una realidad, el análisis masivo de datos es empleado en diferentes ramas (científicas, empresariales, marketing, entre otras), con claros beneficios paras las empresas que lo realizan.

El Grupo de Berlín definía el Big Data como "gigantescas cantidades de datos digitalizados que son controlados por las empresas, autoridades públicas y otras grandes organizaciones que poseen la tecnología para realizar un análisis extenso de los mismos basado en el uso de algoritmos".

En este sentido, tal y como puso de manifiesto The Information Commissioner´s Office en su guía sobre “Big data and data protection”, el Big Data debe ser concebido como un fenómeno más que como un mero desarrollo tecnológico.

En referencia a los beneficios de este fenómeno, la resolución sobre Big Data de la 36th International Conference of Data Protection and Privacy Commissioners afirmaba que “el Big Data (Metadatos) puede utilizarse, por ejemplo, para predecir la propagación de epidemias, descubrir los graves efectos secundarios de medicamentos y combatir la contaminación en las grandes ciudades”.

No es de extrañar, visto el éxito que ha tenido en dichos campos, que haya acabado por exportarse el análisis masivo de datos al mundo del deporte, donde las estadísticas y el scouting ya venían utilizándose de forma normalizada.

En efecto, las técnicas tradicionales se han quedado atrás y las nuevas tendencias se inclinan por hacer uso de otro fenómeno creciente denominado "Internet of Things". Un fenómeno que se encuentra relacionado con la integración de tecnologías como el Cloud Computing o el Big Data, entre otras, tanto en lo relativo al almacenamiento, al tratamiento de información, y su explotación y análisis. Este tipo de tratamiento implica la necesidad de recabar, tratar, almacenar, combinar, analizar y transferir gran cantidad datos e información que pueden hacer referencia a una persona identificada o identificable.

Entre los dispositivos más utilizados se encuentran las cámaras con detección de movimiento, aplicaciones o “wearables” que los jugadores lucen en cada partido como parte ya de su equipación habitual. De esta forma, se mide y se analiza cada movimiento, la biomecánica del jugador, si duerme bien o mal, su ritmo cardiaco a tiempo real e incluso su nivel de estrés a la hora de tirar un penalti.

Toda esta información generada constituye un gran valor para los clubes, que no dudan en contar con expertos que analicen con tecnologías Big Data el ingente número de datos obtenido, como si de un fisioterapeuta o un nutricionista se tratara. De hecho, más del 80% de equipos de la NBA ya cuentan con un analista de datos, que también se hace necesario en otros deportes, sírvase el ejemplo del Real Madrid que fichó a Microsoft para confiarle las decisiones sobre futuros candidatos a formar parte del equipo.

En este contexto debemos tener en cuenta la Opinión del propio Grupo del Artículo 29 (Opinion 8/2014 on the on Recent Developments on the Internet of Things), en que define los principales retos a los que debería hacerse frente, tales como la pérdida de control sobre la información personal, la necesidad de regular la prestación servicios tecnológicos asociados a estos fenómenos por parte de terceros, las limitaciones a la posibilidad de que el usuario del servicio no resulte identificado o identificable, la posible monitorización intrusiva y profiling, así como la calidad del consentimiento del afectado y las medidas de seguridad encaminadas a evitar la alteración, pérdida, tratamiento o acceso no autorizado de la información personal.

En este sentido deben revisarse las políticas de privacidad y las condiciones de las tecnologías empleadas (wearable, eyeable, earable, entre otras). En algunos casos analizados encontramos que si bien las condiciones hacen referencia a la política de privacidad y a la configuración otorgada por el propio usuario, cuando éste lee el texto, puede tener dudas sobre el uso que se pueda dar de su información generada, durante cuánto tiempo se mantendrá, si será cancelada, etc. Es importante tener en cuenta que, aunque se disocie la información o se le aplicaran técnicas para anonimizar los datos personales, el gran flujo de información generada podría permitir la re-identificación del usuario.

Para una correcta anonimización el proceso debe ser irreversible y garantizar la no asociación o identificación de las personas, una cuestión que tal y como ponen de manifiesto los propios expertos, mediante la utilización del Big Data, se hace muy difícil poderse realizar de forma irreversible y lo que más complicado, evitando la asociación con otra información.

La suma de datos sobre frecuencia cardíaca, hábitos de vida, dieta, ejercicio realizado, tensión, puede conllevar la definición del estado de salud de una persona, por lo que deberemos adoptar medidas encaminadas a proteger información que puede tener la consideración de especialmente protegida. Debemos recordar que prácticamente todo lo que hacemos en nuestro día a día deja -o dejará tarde o temprano- una huella digital.

Desde el punto de vista deportivo, se podría pensar que el uso de todas estas técnicas no es más que una adulteración de algo tan natural como es el deporte y el instinto competitivo del ser humano. Sin embargo, en cuanto a la aplicabilidad del Big Data en el deporte y tener en cuenta que el factor humano, que siempre va a estar presente, aun no puede predecirse con fiabilidad. En este sentido, ningún dato podrá explicar nunca los saltos interminables de Michael Jordan, el daño que hace el drive de Rafa Nadal sobre la tierra de Roland Garros o la maestría con la que Messi se mueve por el campo. De hecho, los expertos en Big Data “Five Thirty Eight” han realizado un estudio sobre este último concluyendo tras el análisis de la información recabada que, en base a los datos, “Messi es imposible”.

En este ámbito, debe tenerse en cuenta que la aplicación de estas tecnologías pueden ser un medio para mejorar el rendimiento de los jugadores y ayudar a entrenadores a tomar las mejores decisiones para optimizar el potencial del equipo, teniendo así una mayor oportunidad de éxito. Sírvase de ejemplo la utilización de una aplicación de Big Data de análisis de los partidos de fútbol en tiempo real, de la multinacional SAP, tanto en sus entrenamientos como en partidos amistosos, por parte de la Selección Alemana de Fútbol durante el pasado Mundial de Brasil.

En materia de protección de datos, debemos tener en cuenta que las empresas que desarrollan estas tecnologías deben avanzar, además, en la innovación sobre la protección de la privacidad, en la adopción de medidas que garanticen un correcto uso de la información generada, en la clarificación del deber de información y obtención del consentimiento detallando qué información va a ser tratada, con qué finalidad y por quién.

En este sentido, la elaboración de Evaluaciones de Impacto en la Protección de los Datos Personales previas, la aplicación de los principios de Privacidad desde el diseño y por defecto (Privacy by design y Privacy by default), así como la implementación de sistemas que permitan la obtención del consentimiento informado a través del propio dispositivo tales como los denominados Privacy Proxies y las Sticky Policies, son parte de los retos que deberán afrontarse, junto con la definición del propio sistema de tratamiento, posibles transferencias internacionales de datos y cesiones que pudieran producirse. El círculo quedaría cerrado con el principio de la Accountability mediante el cual, no sólo se deben adoptar políticas e implantar medidas técnicas y organizativas adecuadas y verificables, sino que además éstas deben ser documentadas, posibilitando su demostración.

La realización de Evaluaciones de Impacto es una práctica cada más extendida en los diferentes países, como por ejemplo las Guías y documentos elaborados por diferentes organismos reguladores en el ámbito de la protección de datos: la Agencia Española de Protección de Datos publicó en octubre de 2014 la “Guía para una Evaluación de Impacto en la de Protección Datos Personales”, The Information Commissioner´s Office a finales de Diciembre de 2007 publicaba su primera Guía, el CNIL publicó en junio de 2012 una guía denominada “Metodología para la Gestión del Riesgo de Privacidad” (Methodology for Privacy Risk Management), y el BSI publicó en noviembre de 2011 unas directrices para la ejecución de evaluaciones de impacto (Privacy Impact Assessment Guideline).

Cuando aplicamos tratamientos de datos innovadores, también debemos innovar en la forma en que obtenemos el consentimiento. La información debe de ser sencilla, entendible, concisa, permitiendo a las personas decidir y conocer las posibles implicaciones que un determinado tratamiento puede tener, es fundamental aportar transparencia y seguridad jurídica, algo que redundará en una mayor generación de confianza en los usuarios. Deben definirse las finalidades de uso de la información diferenciando el uso personal que haga el usuario de otros tratamientos de datos así como las posibles cesiones, informando sobre tales extremos al usuario y recabando su consentimiento.

Por último, debemos recordar que junto al nivel de seguridad reconocido por nuestra normativa de protección de datos, existe un nivel social, no recogido en la norma, por el que el impacto de un dato de nivel básico puede ser mayor que el de otro nivel de seguridad, así como la repercusión que el tratamiento del mismo puede tener para el propio titular de los datos o la sociedad.