El equilibrio entre privacidad e innovación (parte 1)

Antes de entrar en el tema de hoy, un poco de contexto. A lo largo de la historia, los seres humanos hemos valorado distintos recursos. En la revolución agrícola, la tierra era considerada sumamente importante. En la era industrial, lo fueron la maquinaria, el carbón y luego el petróleo. Ahora, en el siglo XXI, académicos, periodistas y líderes de la industria llevan tiempo diciendo que los datos son el nuevo petróleo. Entre las empresas más valiosas del mundo por capitalización de mercado, muchas son tecnológicas y todas manejan cantidades enormes de datos sobre consumidores de todo el planeta. Los nombres habituales son:

• En el Este: Alibaba, Tencent, Baidu, Flipkart
• En el Oeste: Google, Microsoft, Amazon, Facebook, IBM, Apple

Otra perspectiva, del informe del World Economic Forum data policy in the Fourth Industrial Revolution, plantea que: "En el World Economic Forum, preferimos pensar en los datos como el oxígeno que alimenta el fuego de la Cuarta Revolución Industrial. Están disponibles en todo momento y son necesarios, pero si se usan de forma incorrecta pueden generar resultados peligrosos e indeseados."

Dado lo importante que son los "datos", estoy intentando formarme en este tema y esta entrada es la primera de una serie sobre privacidad de datos. Como no soy experto en la materia, me limitaré a sintetizar lo que he aprendido y a enlazar las fuentes. Hoy hablaremos de tres preguntas principales:

• ¿Qué son los datos personales?
• ¿Quién los posee? — una respuesta con matices
• ¿Cuáles son tus derechos?

¿Qué son los datos personales?

Hasta ahora, la definición que me parece más completa es la utilizada por la Unión Europea en su regulación GDPR.

"'datos personales' son toda información sobre una persona física identificada o identificable ('el interesado'); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;" También ofrecen ejemplos de datos personales aquí:

• dirección de correo electrónico (tunombre@empresa.com)
• una dirección de Protocolo de Internet (IP)
• un ID de cookie (que suele encontrarse en tu navegador web)
• el identificador publicitario de tu teléfono

Otros ejemplos pueden ser:

• Tus comunicaciones privadas: el contenido de tus correos electrónicos o mensajes privados
• Tus registros financieros (saldo bancario, transacciones, declaración de impuestos)
• Registros educativos (a qué escuela fuiste, tus calificaciones)
• Historial médico
• Datos biométricos (huella dactilar, tu cara) etc.

Aunque aquí solo incluyo algunos ejemplos, es importante señalar que existen más de 100 leyes de protección de datos en distintos países y territorios.

Personal data protection commission Singapore: "Los datos personales hacen referencia a datos, sean o no verdaderos, sobre una persona que puede ser identificada a partir de esos datos; o a partir de esos datos y otra información a la que la organización tiene o es probable que tenga acceso. Los datos personales en Singapur están protegidos por la Personal Data Protection Act 2012 (PDPA)."

¿Quién los posee?

Bueno, la respuesta más obvia para mucha gente es: son mis datos, así que yo soy el dueño. Pero en la práctica, la cosa es bastante más matizada.

Registros del gobierno y organismos públicos

En muchos países, el gobierno mantiene una gran cantidad de datos sobre sus ciudadanos: certificados de nacimiento, documentos de identidad (que el propio gobierno emite), datos biométricos, etc. El año pasado, el gobierno indio implementó uno de los mayores programas de identificación biométrica del mundo, con aproximadamente mil millones de personas.

Lo interesante es que en Davos este año, durante la conversación sobre "Setting the rules for the AI race", un representante del gobierno indio mencionó que los datos pertenecen a entidades públicas o al gobierno. El gobierno puede autorizar a entidades públicas o privadas el acceso a datos personales.

Cuando viajas (o solicitas un visado para hacerlo), muchos países te piden que entregues datos biométricos. Una vez que lo haces y firmas la documentación, es probable que estés compartiendo tus datos biométricos con esos gobiernos extranjeros.

Datos observados e inferidos/predictivos

El informe del World Economic Forum data policy in the Fourth Industrial Revolution propone que hay que considerar el contexto en esta conversación. La respuesta a quién es el dueño de los datos observados o los datos inferidos no es sencilla.

"Datos observados: preferencias de navegación por internet, grabaciones de videovigilancia, registros de llamadas, etc.

Datos inferidos: puntuaciones de crédito, perfiles de consumidor, flujos de tráfico predictivos, patrones en la propagación de enfermedades infecciosas, publicidad dirigida, etc.

En nuestra vida cotidiana usamos distintos servicios y dejamos atrás muchos "datos observados" con diferentes empresas. ¿Son esas empresas las dueñas de esos datos? Puede ser un hospital, una aerolínea, un restaurante, tu servicio de movilidad compartida, etc. En el mundo publicitario, las empresas suelen llamar a este tipo de datos "datos de primera parte" (1st party data), lo que parece indicar que pueden usarlos. Pero ¿pueden hacerlo? Si se aplica la definición de datos personales del GDPR de la Unión Europea, en tanto los datos puedan usarse para identificar a una persona, esa persona es dueña de ellos. Si los datos están anonimizados o han pasado por un proceso de seudonimización, es un caso distinto.

Un punto importante: llevamos mucho tiempo dejando rastros de nuestro comportamiento y datos económicos en todas partes. Lo que ha cambiado en la última década aproximadamente es el avance del big data y del machine learning. Hoy es relativamente más fácil y barato para las empresas almacenar y procesar grandes volúmenes de datos y hacer predicciones a partir de ellos. Cualquier motor de recomendación (como el de Amazon) es esencialmente eso.

¿Cuáles son tus derechos?

Aquí es donde realmente valoro la claridad con la que la regulación de la Unión Europea articula estos temas. No estoy debatiendo si tienen razón o no, al menos no en esta primera entrada. El GDPR europeo establece los siguientes derechos para los consumidores:

• Cada persona es dueña de sus propios datos personales
• Transparencia y consentimiento: Las empresas deben pedir permiso explícito para almacenar y procesar datos personales de forma transparente y en lenguaje claro
• Seguridad: Los datos personales deben estar protegidos por medidas de seguridad razonables
• Derecho a retirar el consentimiento: en cualquier momento, podemos retirar nuestro consentimiento para que nuestros datos sean procesados o usados
• Información y acceso a los datos personales
• Derecho a la rectificación
• Derecho a la limitación del tratamiento
• Derecho de portabilidad
• etc.

Por supuesto, el GDPR también describe muchas excepciones y exenciones detalladas.

The California Consumer Privacy, la personal data protection act de Singapur y otras leyes de privacidad, aunque no son tan exhaustivas, hablan de derechos similares. Eso es todo por ahora.

A continuación, abordaré algunos de los temas más espinosos en próximas entradas:

• ¿Es el GDPR de la Unión Europea demasiado prescriptivo?
• ¿Debería existir una ley global de privacidad de datos, dado que los regímenes jurídicos y los modelos económicos son tan distintos en el mundo? Si no, ¿cuál debería ser nuestro enfoque global, dada la naturaleza interconectada e interdependiente de nuestro mundo?
• ¿Cómo avanzamos desde aquí?
• El equilibrio entre privacidad de datos e innovación, empezando por la salud y la educación
• ¿Cómo evitar el monopolio de datos a nivel local, nacional y global?

Gracias,

Chandler