Sinergia Mobile Day Barcelona. Una reflexió sobre la protecció de dades i les noves tecnologies
5 març, 2020El passat 27 de febrer es va celebrar el SINERGIA MOBILE DAY BARCELONA. Una jornada sobre els últims avenços de les noves tecnologies en el mercat català. L’acte estava organitzat per Sinergia, MWCB i la Generalitat de Catalunya.
En un format dinàmic, amb presentacions de 15 minuts, els ponents van parlar dels seus últims projectes, tots ells a l’avantguarda de les noves tecnologies. Es va parlar d’Intel·ligència Artificial (IA), Big Data, tecnologia IOT, 5G, Computació Quàntica, Smart Cities, Drones, Cloud Computing i Blockchain, així com de la figura del Delegat de Protecció de Dades i la privacitat a la revolució de les TIC.
Sens dubte, les innovacions que tenen lloc en l’àmbit de les TIC estan modificant les relacions socials, serveis empresarials i entitats públiques a través de la interconnexió digital, reinventant la seva estructura i generant quantitats de dades que resulten actius d’un enorme valor en la nostra economia i mercat actual.
Tot això ofereix enormes beneficis i oportunitats com, per exemple, potenciar la investigació científica, millorar eficàcia i eficiència en els models de negocis, crear una major i més ràpida interconnexió entre consumidors i empreses, augmentar seguretat per part de les autoritats, facilitar l’accés a la informació i a nous serveis tecnològics, crear noves maneres de gaudir l’oci i la cultura, etc.
No obstant això, també implica riscos per a la privacitat dels usuaris i la protecció de les seves dades personals. Per exemple, imaginem que el Big Data, juntament amb tecnologies d’IA aplicada, permetés a les assegurances mèdiques conèixer l’historial de salut d’un individu per determinar automàticament la seva assegurança de vida, o que una empresa de selecció descarti candidats en base a informació sobre els locals que visiten els dissabtes a la nit, o que es pogués denegar l’accés a un crèdit perquè es determina la insolvència amb processos automatitzats aplicant algoritmes d’aprenentatge.
Així mateix, imaginem que les autoritats d’una Smart City poguessin tenir accés a la teva informació per mitjà d’estructures 5G, provocant que com a ciutadà tinguessis por de ser monitoritzat i comencis a dubtar sobre el que pots o no dir en les teves converses privades. En aquest cas s’estaria vulnerant la teva privacitat i també la teva llibertat de reunió i expressió. O per exemple, suposem que les empreses examinen el teu comportament a les xarxes per manipular la teva opinió política a través de contingut personalitzat i automatitzat. Imaginem drons sobrevolant una ciutat en la qual et poden fotografiar en qualsevol moment. O pensem en les nostres dades permanentment en una xarxa Blockchain que mai podrà ser eliminada. O què passaria si el servei cloud on emmagatzemes les teves fotografies més personals pateix un atac hacker i aquestes queden exposades, sent víctima de ciberassetjament o sexting?
Tot això han estat només alguns exemples del que pot o del que ja ha passat en nombrosos casos. És cert, i no hi ha dubte, que les noves tecnologies que apareixen al mercat generen nombrosos beneficis per a la societat, però, també hi ha clars riscos respecte a la privacitat, protecció de dades personals i seguretat de la informació.
Això vol dir que no hem d’utilitzar aquestes tecnologies? No, el que vol dir és que hem de tenir en compte aquests riscos i eliminar-los abans de que la tecnologia quedi inserida i desenvolupada en el mercat, provocant danys irreparables o de molt difícil reparació. Quina és la solució? La resposta va aparèixer al Sinergia Mobile Day. Com bé va indicar Esther Noda, especialista en protecció de dades i sòcia-fundadora de la consultoria Datax, moltes d’aquestes qüestions serien evitables aplicant la privacitat i protecció de dades des del disseny i per defecte des del moment 0.
A la Unió Europea (UE), el tractament de dades personals està regulat pel ja conegut Reglament General de Protecció de Dades Personals (RGPD). El RGPD haurà de determinar com les presents i noves tecnologies poden establir-se al mercat digital de la UE i que, com a societat i economia, ens puguem beneficiar de la revolució digital. Tot això salvaguardant els drets i llibertats fonamentals dels interessats, és a dir, la privacitat i la protecció de les seves dades personals.
El Principi de Licitud del tractament de les dades és un dels principis fonamentals que s’ha de salvaguardar, per exemple, en projectes que utilitzin IA combinada amb el Big Data o el IOT. Aquest principi implica que el tractament de dades sigui transparent amb l’interessat (la persona ha de saber com i per a què són tractades les seves dades), així com tenir una base de legitimació per aquest tractament com, per exemple, el seu consentiment.
Així mateix, el Principi de Limitació de la finalitat, també recollit en el RGPD, implica que les dades personals no puguin ser tractades per a finalitats diferents a les prèviament descrites i legitimades, llevat que s’apliquin garanties i mesures tècniques i organitzatives adequades. Per exemple, l’anonimització de les dades, mesura molt a tenir en compte en el Big Data i el Blockchain.
D’altra banda, el RGPD exigeix que es respecti un Principi de Seguretat de les dades, de manera que s’instal·lin les mesures pertinents per evitar, entre altres, la manipulació, accés, pèrdua o destrucció de dades de manera il·lícita. Per això, ja no només seran necessàries mesures de seguretat informàtiques i tecnològiques (com antivirus, antifishing, backup, contrasenyes, etc.), o la signatura dels contractes d’Encarregat del Tractament, sinó que la formació dels treballadors de les organitzacions resulta imprescindible per al correcte compliment del RGPD.
La normativa europea també obliga a les empreses tecnològiques a no recollir més dades de les estrictament necessàries per complir amb la finalitat del tractament (Minimització de les dades). En el cas de projectes Big Data serà imprescindible una clara i prèvia estructura organitzativa.
D’altra banda, d’acord amb el RGPD, resulta imprescindible donar major control a l’interessat sobre les seves dades personals, de manera que puguin satisfer els seus drets (d’accés, modificació, portabilitat, limitació o supressió), i que les seves dades siguin exactes i no es conservin indefinidament. Aquest aspecte genera clars riscos en les tecnologies Blockchain si no s’instal·len les garanties suficients.
Igualment, el Principi de Responsabilitat Proactiva implica que ja no només s’ha de complir amb la llei, sinó que l’organització ha de ser capaç de demostrar que compleix amb la normativa de protecció de dades i seguretat de la informació. Això implica un seguit d’actuacions i conservació de proves i evidències, d’extrema importància en el sector de les TIC.
Aquestes són només algunes de les implicacions i obligacions que tenen, i tindran, les empreses i entitats de caràcter tecnològic. Tot això, tal com Esther Noda va indicar, és impossible de complir si no es respecta el principi de privacitat des del disseny i per defecte, el que implica comptar amb el degut assessorament des d’una fase inicial, i no quan la tecnologia ha quedat ja implementada i desenvolupada.
En relació a l’anterior, la figura del Delegat de Protecció de Dades (DPD o DPO en anglès) cobra especial importància ja que és la personalitat que s’encarregarà de salvaguardar aquest principi i garantir, juntament amb els assessors legals en matèria de protecció de dades i seguretat de la informació, el correcte desenvolupament de les tecnologies, sense vulnerar el cos normatiu vigent.
Així mateix, el RGPD ens dota d’una eina específica, l’Avaluació d’Impacte (EIPD o DPIA de les seves sigles en anglès), per determinar els potencials riscos generats per l’aplicació concreta d’una tecnologia, amb la finalitat de mitigar-los en una fase prèvia al seu llançament. Tot i que el Reglament Europeu no ens obliga a realitzar una DPIA en tots els casos, la prèvia elaboració generarà una confiança en el mercat i en els futurs clients i consumidors d’aquestes tecnologies. Resulta evident que una Avaluació d’Impacte és una garantia que un determinat procés tecnològic compleix amb el que disposa la normativa sense generar riscos acumulats.
En conclusió, és notòria i evident la implicació i interrelació entre la protecció de dades personals, la seguretat de la informació i les noves tecnologies. Totes elles han d’anar de la mà des les seves fases inicials, respectant el principi de privacitat i protecció de dades personals des del disseny i per defecte.
Efectivament, el RGPD no és un obstacle a les noves tecnologies, sinó tot el contrari, és la garantia i el propulsor d’un correcte desenvolupament d’aquestes en el mercat. No hi ha una altra fórmula que la de trobar vies legals segures, des d’un primer moment, que permetin sostreure els màxims beneficis d’aquestes tecnologies sense vulnerar la privacitat i la protecció de les dades personals dels usuaris.
Javier de Zea
Advocat especialista en protecció de dades