Como se señalaba en la primera entrega de este artículo, el avance tecnológico y la economía digital han mostrado, en años recientes, las consecuencias que trae consigo el tratamiento de datos personales a gran escala. Lo que hoy en día conocemos como big data se ha convertido en el nuevo mercado de información que ha permitido el crecimiento exponencial de las grandes compañías de tecnología y servicios en línea.
Uno de los grandes problemas al que nos enfrentamos sin percatarnos de ello es que debemos observar desde múltiples perspectivas las consecuencias que conlleva el tratamiento de nuestros datos personales. En función de la categoría a la que correspondan (por ejemplo, generales, patrimoniales, sensibles), el consentimiento de los titulares respecto de su tratamiento debe ser especial para la categoría de que se trate.
En este sentido, se han implementado algunas medidas que hoy en día son identificadas como buenas prácticas o, inclusive, han alcanzado el grado de recomendaciones específicas por parte de las autoridades de protección de datos que han servido como guías de orientación para que los responsables del tratamiento de datos personales adopten mecanismos que ayuden a generar confianza en sus usuarios, como los que abarcamos a continuación:
Privacidad por diseño
Uno de los mecanismos que puede ser implementado para cumplir con las medidas de seguridad necesarias para la protección de nuestra información personal ante la inminente recolección de datos por parte de las empresas es la privacidad por diseño, término adoptado en los años 90 del último siglo para atender los efectos crecientes y sistemáticos de las tecnologías de la información y las comunicaciones, y de los sistemas de datos en red a gran escala.
Este concepto busca disminuir los efectos nocivos de la tecnología, ya que la privacidad no puede garantizarse solo mediante la implementación de marcos regulatorios, sino que debe considerarse como una parte esencial en el desarrollo de innovaciones tecnológicas y contemplar, desde su diseño, la inclusión de políticas de privacidad claras que sean transparentes y de fácil comprensión para los usuarios, con lo cual se pretende generar confianza en los mismos.
La protección de los datos personales debe ser de extremo a extremo, durante todo el ciclo de vida de su tratamiento. Es decir, los encargados del desarrollo de la tecnología deberán considerar, desde la fase inicial de su diseño, los principios y deberes legales, así como las mejores prácticas internacionales en cuanto a la protección de datos personales y privacidad.
El análisis de datos plantea una serie de problemas y cuestiones éticas que deben tenerse en cuenta, especialmente a medida que las organizaciones comienzan a aplicar o madurar sus capacidades de big data y ciencia de datos. Así nos lo explica Giovanni Buttarelli, ex Supervisor Europeo de Protección de Datos (traducido del italiano):
"La innovación humana siempre ha sido el resultado de actividades de grupos sociales específicos y contextos específicos, que generalmente reflejan las normas sociales de la época. Sin embargo, las decisiones de diseño tecnológico no deben dictar nuestras interacciones sociales y la estructura de nuestras comunidades, sino que deben respaldar nuestros valores y derechos fundamentales."
Ética en el tratamiento de los datos
Las medidas impuestas, derivadas de la emergencia sanitaria que enfrentamos a nivel global, son uno de los más recientes y claros ejemplos en los que podemos identificar el tratamiento de datos de salud mediante la implementación de innovaciones tecnológicas como las aplicaciones de rastreo de contactos.
La experiencia acumulada con el paso de los meses nos ha permitido detectar que en distintos países y regiones del mundo algunos gobiernos han implementado acciones que han afectado, de manera directa, la esfera más íntima de las personas mediante el uso de nueva y avanzada tecnología.
Es importante reconocer que las soluciones inmediatas, sin una clara finalidad y propósito, podrían provocar una vulneración a los derechos humanos de los individuos, el uso de nuevas tecnologías relacionadas con la aplicación de sistemas desarrollados a partir de la inteligencia artificial, los datos biométricos y los sistemas de rastreo satelital, aunados a la falta de legislación o normatividad que regule la implementación de estas tecnologías, representan hoy en día el mayor reto al que se deben enfrentar las autoridades garantes de la protección de datos personales.
Una de las soluciones tecnológicas que ha demostrado eficacia y eficiencia en la detección, atención y prevención de contagios de esta enfermedad es el uso de las aplicaciones móviles en la lucha contra la pandemia COVID-19; no obstante, no dejan de ser un blanco constante de señalamientos que han llegado a referirlas como un posible nuevo modelo de control social.
El uso de estas aplicaciones ha generado una falsa elección entre el derecho a la salud y el derecho a la privacidad. El autor Yuval Noah Harari escribió en marzo de 2020 que «las decisiones que hagamos ahora podrían cambiar nuestras vidas en los próximos años». El mismo autor nos recuerda que «las medidas temporales tienen el desagradable hábito de superar las emergencias, especialmente porque siempre hay una nueva emergencia al acecho en el horizonte».
Estas aplicaciones, que tanto gobiernos como sector privado han puesto en marcha, son creadas con base en distintas plataformas y requieren de diferentes autorizaciones y permisos para poder funcionar en nuestros dispositivos. Uno de estos permisos, y quizás el más controversial, es el acceso a la geolocalización de nuestros móviles, ya que, ante la diversidad de protocolos y tecnologías que existen hoy en el mercado, no podríamos asegurar con certeza que nuestra información personal está siendo tratada de manera correcta.
Lo anterior, con base en los hallazgos de diversos estudios que se han realizado en torno a las aplicaciones utilizadas en el combate a la pandemia, ha demostrado que pueden variar las tecnologías, de conformidad con la aplicación que sea utilizada, ya que pueden estar basadas en protocolos centralizados o descentralizados y hacer uso de tecnologías interoperables como Bluetooth o GPS, que permitan realizar el trazado y rastreo de contactos, además de ser contenedores de información sensible relativa a nuestro estado de salud.
Al respecto, Manuela Battaglini, coautora del estudio Un marco sociotécnico para el rastreo de contactos digitales (traducido del inglés), ha señalado en diversos medios que la ética es clave para el desarrollo y puesta en marcha de estas aplicaciones y que la ética digital debe comprender tres grandes bloques:
- La ética de los datos, refiriéndose estrictamente a la recopilación de datos;
- La ética de los algoritmos, que corresponde al tratamiento de los datos, las decisiones automatizadas y la confección de perfiles; y
- La ética de la puesta en práctica, que incluye las implicaciones sociales que tiene en la vida de los individuos o grupos de individuos.
De igual manera, conforme lo señala la misma autora, existen mecanismos y recomendaciones éticas dirigidas a los desarrolladores tecnológicos con la finalidad de orientarlos a cumplir, de manera cabal, con los principios y deberes en materia de protección de datos personales. Entre ellas:
- Orientaciones para realizar evaluaciones de impacto con enfoque en derechos humanos.
- El diseño de aplicaciones con algoritmos auditables, neutrales y transparentes.
- Un diseño ético y libre de sesgos, que impida la discriminación de los individuos a causa de sistemas de perfilado y decisiones automáticas.
Sobre estas bases, se considera que la ética, al igual que la privacidad por diseño, es una pieza clave. Por un lado, la ética permitirá orientar al sector de innovación tecnológica para contar con infraestructura y sistemas de protección de datos personales de extremo a extremo. La confidencialidad y protección de nuestra información personal serán garantizadas mediante políticas de tratamiento de datos con base en la ética digital, siempre con un enfoque que respete derechos humanos con algoritmos transparentes y auditables que permitan una correcta rendición de cuentas por parte de los responsables. Por otro lado, la ética refuerza los marcos de actuación de las autoridades de protección de datos personales, así como las legislaciones en la materia, ya que, a mayor calidad y apego a códigos de conducta éticos y transparentes, mayor será la confianza brindada al ciudadano.
Debemos recordar que, en el caso de emergencias sanitarias, o de cualquier otro tipo que pudiera surgir, tanto la privacidad como la salud (o como el derecho humano de que se trate), son derechos fundamentales, y, por ende, existirán marcos regulatorios nacionales o tratados internacionales que los garanticen uno sin detrimento del otro.
Por lo anterior, es muy probable que en el futuro inmediato se comience a trabajar en modelos capaces de resguardar la confidencialidad y seguridad de nuestros datos personales. Al mismo tiempo, es espera que éstos permitan la correcta implementación de soluciones tecnológicas que vayan de la mano tanto con los marcos regulatorios vigentes, así como con las autoridades de protección de datos que juegan un papel de suma importancia en este tipo de contextos. Así complementarán las medidas de seguridad que permitan contribuir a la solución de cualquier tipo de crisis que se pueda enfrentar.
Como bien lo señalaba el ex Supervisor de Protección de Datos Personales Giovanni Buttarelli, «Los avances tecnológicos, el procesamiento de big data más centralizado y la interconexión de los dispositivos digitales, permiten la recopilación y el uso de datos personales de formas cada vez más complejas y opacas, lo que plantea amenazas importantes para la privacidad y la protección de datos», por lo que se debe tener presente que «La ética viene antes, durante y después de la ley», (traducido del inglés).
Ciberseguridad y datos personales
Una de las ramas que debemos tener presentes al momento de hablar sobre el entorno digital, sin duda, es la ciberseguridad. No podríamos concebir la ciberseguridad sin involucrar el tratamiento de datos personales. Se podría decir que una de las razones por la que la ciberseguridad es necesaria sería justamente para brindar la protección y adecuadas medidas de seguridad a la información y datos personales que se encuentran en el entorno digital.
Ahora más que nunca, podemos afirmar que la crisis sanitaria ocasionada por el COVID-19, nos ha enfrentado a una realidad que nos hace vulnerables y dependientes de los servicios de conexión a Internet, ante un escenario en el que hemos volcado nuestras actividades cotidianas al modo digital. La manera en que adquirimos productos y servicios, o accedemos a actividades cotidianas fundamentales, como trabajar y estudiar, ahora es desde casa; es parte de nuestra denominada nueva normalidad.
En este contexto, en donde la conexión a Internet es fundamental para el desarrollo de nuestra vida diaria, las políticas de ciberseguridad son fundamentales para salvaguardar los derechos de los individuos en el entorno digital, tal como la protección de datos personales y la privacidad. Con la implementación de estas políticas se puede aumentar la confianza de los individuos en las tecnologías digitales, ya que, a partir de la correcta implementación de medidas en materia de ciberseguridad, los usuarios se sentirán más cómodos al hacer uso de servicios en red, aplicaciones o dispositivos móviles.
De acuerdo con Moisés J. Schwartz, Gerente de Instituciones para el Desarrollo del Banco Interamericano de Desarrollo (BID), "El crimen en línea ya supone, aproximadamente, la mitad de todos los delitos contra la propiedad que tienen lugar en el mundo. A nivel agregado, las cifras adquieren aún mayor magnitud pues los daños económicos de los ataques cibernéticos podrían sobrepasar el 1% del producto interno bruto (PIB) en algunos países. En el caso de los ataques a la infraestructura crítica, esta cifra podría alcanzar hasta el 6% del PIB".
Otro dato adicional muy importante que se señala en este informe es que solo 16 países del continente americano cuentan con leyes en materia de protección de datos personales, por lo que se debe alentar a los gobiernos a contar con normatividad en la materia en favor de los ciudadanos.
De igual manera, el informe destaca que 25 países en el continente americano no han firmado la Convención de Budapest, primer tratado internacional enfocado en la lucha contra los delitos informáticos y de Internet, mejor conocido como el convenio sobre la ciberdelincuencia. Además, señala que solo 12 países del continente cuentan con una estrategia de ciberseguridad, lo cual refleja la falta de regulación y normatividad en la que deberemos centrarnos en los siguientes años en toda la región.
Reflexiones finales
En un mundo que vive en constante cambio debido al acelerado avance tecnológico, resulta imprescindible contar con herramientas y elementos normativos que generen confianza y otorguen certeza a los individuos sobre el tratamiento de sus datos personales para, con ello, crear y fortalecer una cultura de la protección de nuestra vida privada.
Hacia el futuro en donde quizás el desarrollo de nuestras actividades cotidianas dependa en su totalidad de estar conectados en red, debemos hacer conciencia sobre el buen manejo de nuestra identidad digital para evitar afectaciones tanto a nuestra vida privada como a nuestros datos personales.
Para ello, el papel que desempeñarán las autoridades de protección de datos personales es clave, tanto en el acompañamiento al individuo como en la orientación para entes del sector privado—encargados del desarrollo y las innovaciones tecnológicas—, que en la mayoría de las ocasiones es más que inminente el uso de datos personales para su funcionamiento.
Las áreas clave de cooperación para enfrentar los desafíos que aún están por llegar en cuanto a innovación tecnológica, deben ser atendidas desde ahora para que la dinámica de actualización no se quede atrás, ni sea insuficiente para garantizar tanto el derecho a la protección de datos personales como a la privacidad.
Algunos de las áreas de oportunidad que, no solo a nivel regional sino global, deben ser atendidas y estar presentes en las agendas de trabajo de las autoridades de control y reguladores son las siguientes:
- Convergencia normativa—establecer bases mínimas para la protección de datos personales en un mundo interconectado, que, debido a su heterogeneidad, cuenta con diversos marcos normativos que garantizan diferentes niveles de protección para un mismo derecho alrededor del mundo.
- Cooperación internacional entre autoridades de protección de datos personales por medio de las grandes redes de autoridades existentes mediante las cuales se puede impulsar el desarrollo de orientaciones específicas en materias de interés para la comunidad internacional.
- Colaboración y comunicación estrecha entre el sector público (reguladores) y el sector privado (innovadores) en el desarrollo de nueva tecnología que será puesta en circulación en el mercado.
- Perfiles multidisciplinarios—no se puede entender la protección de datos desde las leyes; este derecho fundamental es un derecho en construcción que requiere conocimientos técnicos y legales para ser entendido a cabalidad.
- Transversalidad en ciberseguridad—las políticas de ciberseguridad son fundamentales para salvaguardar los derechos de los individuos en el entorno digital, tal como la protección de datos personales y la privacidad, ya que no puede entenderse la ciberseguridad sin el tratamiento de datos personales.