Privacy enhancing technologies y privacy by design: ¿soluciones para el futuro y la era digital?
Hace tiempo que los profesionales de la privacidad y la protección de datos han abordado los crecientes desafíos que las Tecnologías de la Información y la Comunicación (TIC) implican para esas cuestiones. Y sin embargo, aún cuando se trata de analizar las problemáticas más recientes y ofrecer soluciones para sus desafíos, por la propia naturaleza de la tecnología, siempre hay algún nuevo reto que diseccionar o alguna nueva opción que estudiar
Sólo basta con ver cómo han evolucionado los enfoques, puesto que en su momento se reconoció en España que la Ley debía limitar “el uso de la informática para garantizar el honor y la intimidad” (Constitución Española) y con la LORTAD[1] y la LOPD[2] se definían ciertas medidas para el “tratamiento automatizado de datos” y los “ficheros automatizados”, cuando ahora hay que hablar de Big Data, de Cloud Computing, del uso de etiquetas RFID[3] e Internet de las cosas (o Internet de los objetos), del profiling[4] o de la geolocalización, por mencionar sólo algunos fenómenos.
En cuanto al concepto que se conoce como Big Data, los retos son crecientes. Desde que las ciencias computacionales empezaron a utilizar una serie de algoritmos para sistematizar la información y se fueron desarrollando técnicas para ello, como la minería de datos; los complejos de información que se pueden controlar son cada vez mayores. Pero al tiempo que hay una serie de datos de carácter personal circulando y siendo categorizados y clasificados por esos algoritmos, también es más fácil detectar perfiles de usuarios, ubicaciones de los mismos o fichas sumamente complejas y completas con su información a detalle. El Cloud por su parte, aunque ha sido definido recientemente, ha tenido lugar desde casi los inicios de Internet, y es una plataforma de notable importancia para conseguir los objetivos de dicha sistematización de información.
Es por ello que aunque el Derecho vaya siempre detrás de la realidad que norma y con las TIC esto se acentúa aún más, como bien sostenía Teodoro González Ballesteros [2001: 2], desde el punto de vista normativo se persiguen constantemente alternativas a estos desafíos. Se busca una cierta regulación para la protección de los derechos fundamentales, pero sin frenar el desarrollo tecnológico ya que procesos como los descritos y otros tales como el Internet de las cosas (cuya conectividad entre objetos permitirá que se hagan usos de gran calado para el bienestar social y el alcance de metas por parte de los Gobiernos y las industrias) son inexorables. Y, en su ámbito, adquiere singular importancia el asunto de la confianza, en torno a la cual gira “la realización completa de la Sociedad de la Información” como se ha expresado en diversos documentos de la Unión Europea.
En este sentido, la autorregulación parece ser respuesta a muchas de esas inquietudes y, aunque los usuarios de estos servicios deben ser responsables con su identidad digital y actuar con la debida ética, son las empresas las que tienen un papel esencial que jugar en ese contexto. Y es ahí donde aparecen desarrollos tales como las tecnologías de mejora de la privacidad o tecnologías de protección de la intimidad (PET por sus siglas en inglés) y procesos como la privacidad desde el diseño (PbD, por sus siglas también en inglés).
El planteamiento central sería combatir la tecnología con tecnología, o al menos, contrarrestar los efectos negativos de ésta. Las PET y la PbD han sido fomentadas desde hace varios años por la Comisionada de Privacidad de Ontario, Ann Cavoukian. De hecho, la PbD es un concepto que ella desarrolló en los años 90 y del cual reconoce 7 principios básicos: su enfoque es proactivo y preventivo y no reactivo y correctivo; su filosofía es que la privacidad aparezca siempre predeterminada y debe estar inserta desde el diseño y la arquitectura de los sistemas TIC; su objetivo es un esquema de “ganar-ganar” en donde privacidad y seguridad de la información son compatibles y en donde todo el ciclo de vida de la información sea protegido; el esquema implica visibilidad, transparencia y apertura hacia todos los involucrados y, en donde, en definitiva, el enfoque esté centrado en el usuario.
En cuanto a las PET, desde 2007 han sido también ampliamente fomentadas desde la Unión Europea (en donde este mes se celebra el Día de la Protección de Datos) a través de la Comunicación de la Comisión al Parlamento y al Consejo sobre el fomento de la protección de datos mediante las tecnologías de protección del derecho a la intimidad (PET). Esas tecnologías pueden ir desde la autenticación a la anonimización, pasando por el cifrado, el control y eliminación de cookies, el principio de información sobre el uso de los datos personales, entre otras muchas aplicaciones. Como se sostuvo antes, los especialistas en ciencias computacionales han encontrado diversas formas de catalogar e identificar la información, casi siempre de la mano de las empresas y para detectar hábitos y otras muchas conductas de los usuarios, para lo cual se han apoyado también en las herramientas de geolocalización (cuyo mal uso puede ser perverso para el derecho a la intimidad) y el uso de etiquetas de radiofrecuencia en distintos dispostivos. Pero esos especialistas también pueden desarrollar –y lo están haciendo—algoritmos y procesos basados en data mining, justo para lo contrario: para proteger la privacidad y la intimidad de las personas. Lo dicho: combatir los efectos nocivos de la tecnología, con tecnología.
Dra. Wilma Arellano Toledo.
FUENTES
Arellano Toledo, Wilma [2012]. “Los riesgos de la geolocalización: telecomunicaciones y privacidad” en Mediatelecom, 4 de julio. Disponible en: http://www.mediatelecom.com.mx/index.php/agencia-informativa/entrevistas/item/24449-los-riesgos-de-la-geolocalizacion-telecomunicaciones-y-privacidad
Cavoukian, Ann [2009]. “7 foundational principles” en www.privacybydesign.ca, consultado el 23 de enero de 2015. Disponible en: http://www.privacybydesign.ca/index.php/about-pbd/7-foundational-principles/
González Ballesteros, Teodoro [2002]. “Internet, ¿nuevo orden jurídico?” en La libertad de información. Gobierno y arquitectura de Internet. Madrid, Universidad Complutense, págs. 7-11.
___________________________________________________________________________________________
[1] Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal.
[2] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
[3] Las etiquetas de radiofrecuencia son aquellas que permiten la ubicación concreta de un objeto “gracias a una onda emisora incorporada en el mismo que transmite por radiofrecuencia los datos identificativos del objeto, siendo esta identificación normalmente unívoca”, según señala la Guía sobre seguridad y privacidad de la tecnología RFID del Instituto Nacional de Tecnologías de la Comunicación y la Agencia Española de Protección de Datos de 2010.
[4] Creación de perfiles de usuario que realizan las empresas con información provenientes de aplicaciones y servicios de Internet y otras TIC.