Innovación Legal
10 julio 2013
‘Big Data vs Small Law’
Los riesgos derivados del “tratamiento masivo, desestructurado e indiscriminado de informaciones de todo tipo y formato, con fines de obtención de conocimiento útil para la toma de decisiones”, que es lo que yo entiendo por “big data” es lo que va ser objeto de mis reflexiones, que como se verá no serán exclusivamente jurídicos, ni tan solo tecnológicas.
Creo que podemos dar por superadas las primeras definiciones sobre “big data”, centradas en los aspectos de contenido tecnológico, por tanto enfocadas en el salto cualitativo y cuantitativo en cuanto a la información que podía ser objeto de tratamiento aplicando las soluciones de “big data”.
Los avances tecnológicos han ido superando las dificultades de almacenamiento, búsqueda, compartición, análisis y acceso a grandes volúmenes de datos, ahora eso ha dejado de ser un problema, por tanto la cuestión es cómo utilizar la información obtenida del tratamiento de esos datos, es decir, cuáles van a ser sus aplicaciones.
Cuando en febrero de 2009 Facebook decidió modificar sus condiciones de uso para atribuirse la propiedad en exclusiva de todo lo contenidos publicados por los usuarios, aunque cerrasen su cuenta en Facebook, se empezaba a vislumbrar un cambio de modelo de negocio, un primer paso para utilizar esa información a conveniencia de los propietarios de la red social, para fines aún impredecibles.
Facebook rectificó casi inmediatamente, pero después otros como Google también iniciaron actuaciones que apuntaban en la misma dirección, poder tratar los datos con una cierta libertad y apariencia legal, como cuando hace unos meses unificó las condiciones de uso y accesos a la mayoría de sus servicios, a lo que las autoridades de protección Europeas han puesto atención, hasta tal punto que el pasado 20 de junio la AEPD publicaba una nota informativa en relación al expediente sancionador iniciado contra Google por:
“La falta de información clara, la ausencia de finalidades específicas para varios servicios, el tratamiento desproporcionado de los datos de los usuarios o la conservación de datos por tiempo indeterminado o injustificado son algunos de ellos.”
Precisamente condiciones que deben darse para disponer de un adecuado ecosistema para el desarrollo y crecimiento del “big data”. La acumulación de datos, en un primer momento tal vez sin un objetivo claro, se ha ido convirtiendo en una actividad rentable, desde muchos puntos de vista, no exclusivamente desde la perspectiva económica, en la que tenemos ya a verdaderos “magnates del dato”, sino también de otros usos no comerciales, por ejemplo en materia de seguridad pública, un fenómeno de reciente explosión mediática con PRISM pero ya con un largo recorrido en la red, al menos si nos remontamos a la aprobación por el Parlamento Europeo de ENFOPOL en 1999.
No debe de ser casualidad que el responsable de seguridad de Facebook, Max Kelly fichara en el 2010 por la NSA norteamericana, cuestión que ha salido a la luz hace pocos días, según publicaba el pasado 19 de junio el New York Times.
No voy a tratar aquí los riesgos relacionados con la privacidad, en cuanto a intromisión en la vida privada, que puede llegar a implicar el uso de soluciones “big data”, doy por superada la fase de almacenamiento masivo y de su uso posterior para hacer márquetin directo, en base al comportamiento que tienen los usuarios de la red.
También doy por superado el uso de “big data” con fines predictivos, ya lo tenemos aquí con experiencias como la de “BBVA Research” y “Google”, unidos para desarrollar un proyecto de mejora de las predicciones de la actividad económica en determinados sectores productivos, donde se combinan los modelos de predicción de “BBVA Research” con la información de las búsquedas, y sin duda del resto de sus servicios, de que dispone Google.
Es evidente que ese tipo de iniciativas pueden permitir predecir con mayor exactitud el comportamiento de la actividad económica, se trata de una información estratégica, que puede llegar a tener un gran valor.
Yo quisiera analizar otro tipo de riesgos, aquellos relacionados con un uso aún más avanzado del “big data”, la “inducción” o generación de comportamientos.
Y no me estoy refiriendo a la influencia que los medios publicitarios pueden generar en los hábitos de consumo, o ni tan solo al análisis fino de datos usado para conseguir más votos, en base a identificar tendencias y utilizarlas artificialmente, como el caso Obama y George Clooney, en relación a las preferencias visuales de las votantes indecisas entre 35 y 50 años.
Quisiera ir más allá, planteando hasta qué punto el “big data” puede llegar a permitir que se conozcan cuáles son los estímulos que pueden llegar a “inducir un comportamiento”: a quien votar, que estudiar, a donde viajar, donde vivir, que comprar, qué genera xenofobia, etc.
FRONTERA MUY FINA
Hay una frontera muy fina entre “influir” en las decisiones, a través a argumentos o información que permiten valorar y tomar una decisión libre, en base a un juicio de valor formado por estímulos externos, respecto a “generar” o “inducir” esas decisiones, donde el elemento de “libertad” en la toma de una decisión puede estar viciado en base a técnicas poco transparentes, que inducen al individuo a adoptar un determinado comportamiento, o una determinada decisión.
El estudio de la modificación del comportamiento forma parte de disciplinas como la psicología o la sociología, que recurren a diferentes técnicas para prever y/o modificar comportamientos.
Evidentemente no soy especialista en esas materias, pero documentándome, en internet como no podía ser de otro modo, parece ser que hay diferentes enfoques para modificar comportamientos, como el enfoque educativo, el persuasivo, o el de la influencia social.
Pues bien, un elemento común a todos esos enfoques es la necesidad de disponer de información útil, que pueda dar la respuesta a: ¿Qué enseñar? ¿Qué motiva más? ¿Qué satisface más? ¿Cuál es la tendencia social?, etc.
Conociendo esa información se podrían generar artificialmente comportamientos, las soluciones de “big data” son las que pueden aportar la información de base, que puede ser utilizada como “semilla” para hacer llegar esos impulsos a los individuos y que actúen en consecuencia.
En este punto nos podemos plantear un primer interrogante ¿SI podría existir un conjunto de comportamientos respecto de los que sería lícito practicar técnicas de inducción? Sobre la violencia de género o la xenofobia, por ejemplo. ¿Y quién decide sobre que comportamientos se puede actuar? ¿Quién controla que efectivamente sea así?
Ahora parece estar en manos de unos pocos, y presumiblemente con un vacío legal, ya que muy probablemente no sería necesario en la mayoría de los casos disponer de datos personales al final del “proceso de inducción”, por lo que las normas de protección de datos no serían de aplicación.
¿Dónde queda el derecho fundamental al “libre desarrollo de la personalidad” del art. 10 de la Constitución Española? Y entonces ¿Hasta qué punto se podría entender que es de aplicación el artículo 18.4 cuando establece que “la ley limitará el uso de la informática para garantizar … el pleno ejercicio de [los] derechos”?(en referencia a los derechos de los ciudadanos).
Si entramos a valorar la cuestión de los menores en cuanto a su presencia y uso intensivo de las tecnologías, hasta dónde puede llegar esa inducción.
¿Nos podemos estar enfrentando a una futura sociedad con comportamientos “inducidos” a conveniencia de los estados o de las grandes corporaciones que dominan la red?
Tal vez no sea casualidad que uno de los perfiles más buscados en “Silicon Valley” sea el de los matemáticos, pronto lo serán los de psicólogos y sociólogos, si no lo son ya.
¿Da pie a legislar la limitación del uso de la información obtenida con las soluciones de “big data”? Máxime cuando podría no tratarse de datos personales, como ya he avanzado, y por tanto no entraría en juego en esta fase final del tratamiento de la información, el conjunto de normas que protegen los datos de carácter personal.
A pesar de todo lo dicho tal vez uno de los instrumentos preventivos sí que pudiera ubicarse en el contexto del derecho a la protección de los datos de carácter personal, concretamente el derecho de acceso. En definitiva de unos mayores niveles de transparencia del uso que se da a los datos tratados por los sistemas de información.
Ahora bien, un derecho de acceso amplificado, no limitado exclusivamente a los datos de que dispone un responsable de tratamiento, ni tan solo a quien los ha comunicado, si no a que tratamientos los ha sometido, que información calculada se ha obtenido a partir de mis datos y que usos concretos se les va a dar, incluso respecto de las operaciones de disociación de la información, de esta manera, se daría respuesta tanto a los poderes derivados de la autodeterminación informativa, como a un mecanismo preventivo ante posibles tratamientos opacos de los datos personales, que después sirvan a finalidades como las descritas.
En este punto sería necesario plantearse que los poderes públicos regulen hasta dónde puede llegar el “big data”, o el modelo a implantar va a ser el de “Big Data” vs “Small Law”.
En 1890 los juristas Samuel Warren y Louis Brandeis escribieron el artículo “The Right to Privacy”, en la Harvard Law Review.
“La intensidad y la complejidad de la vida, que acompañan a los avances de la civilización, han hecho necesario un cierto distanciamiento del mundo, y el hombre, bajo la refinada influencia de la cultura, se ha hecho más vulnerable a la publicidad, de modo que la soledad y la intimidad se han convertido en algo esencial para la persona; por ello, los nuevos modos e inventos, al invadir su intimidad, le producen un sufrimiento espiritual y una angustia mucho mayor que la que le pueden causar los meros daños personales.”
Como todos los riesgos relacionados con el uso de las tecnologías de la información, y especialmente de internet, finalmente lo que está en juego, una vez más, son las libertades individuales, que van retrocediendo en favor de los nuevos usos y los avances tecnológicos, incluso con la complacencia, en muchos casos basada en la ignorancia, de todos y cada uno de nosotros.
Ramón Miralles, coordinador de Auditoria y Seguridad de la Información en Autoridad Catalana de Protección de Datos