Datos Personales y Big Data

Breve resumen de la evolución del derecho al Hábeas Data, la utilización y protección de los Datos Personales, el surgimiento del Big Data y la Inteligencia Artificial, finalizando con las recomendaciones de la autoridad establecida para la protección de los datos personales en Colombia.

Introducción

La Administración Pública ha entrado en la era de la información, el interés general propio de las actuaciones administrativas se sirve cada día más de la inteligencia artificial, el Big Data, y la gestión eficiente de los recursos tecnológicos.

La toma de decisiones con fundamento en los resultados del análisis de datos no puede dejar de lado el deber de proteger y respetar el régimen de protección de Datos Personales, cuya evolución ha sido marcada principalmente por el vertiginoso desarrollo de las tecnologías de la información.

En la era de la información reconocer sus ventajas y deberes, son responsabilidad principal de la Administración, quien puede cumplir con sus fines esenciales en desarrollo de sus actividades misionales y en la colaboración de otras actividades en pro del interés general.

Evolución del Hábeas Data

Pocas son las garantías y derechos de rango constitucional cuya evolución y protección de manera general se ven influenciados por el acelerado desarrollo de las tecnologías de la información. Hablar de Hábeas Data en 1992, se predicaba más del derecho al buen nombre y al acceso de la información, que del derecho a Conocer, Actualizar, Rectificar o Eliminar la información que hemos suministrado a terceros, o que de alguna forma éstos han recolectado de nosotros a través de las nuevas tecnologías.

Cuando adquirimos bienes o servicios en el mercado, ya sea de manera directa en un establecimiento bancario, de comercio o a través de un sitio en internet, entregamos voluntariamente nuestros datos, y con ello, la autorización, expresa o tácita para su tratamiento apropiado conforme a la finalidad indicada o por lo menos esperada.

Otras veces de manera voluntaria, publicamos a través de redes sociales información importante de nuestras actividades personales, laborales o de cualquier otra índole, información que puede ser susceptible de un inadecuado manejo por parte de terceros, comportando esto un reto jurídico a nivel global, cuya respuesta ha sido propender por la protección de las personas y la dignidad humana, mediante la expedición de sendas normativas[1] que regulan la recolección y tratamiento de los datos personales.

Vemos como la protección ha ido evolucionando, desde el punto de vista del desarrollo jurídico a un ritmo muy acelerado, desde el punto de vista de las nuevas tecnologías de la información, su desarrollo ha sido muy rezagado.

En Colombia el marco general de protección se desprende del artículo 15 de la Constitución Política[2], cuya evolución en su aplicación se debe en gran medida al reto que el desarrollo de las nuevas tecnologías le ha impuesto a las entidades de regulación, control y protección; puede verse como, en los primeros años de vigencia de la Constitución de 1991, tímidamente se tutelaba por parte de la Corte Constitucional el derecho al Hábeas Data en protección a los derechos a la intimidad y al buen nombre; posteriormente vemos cómo, poco a poco, en respuesta a los nuevos eventos y desarrollos, el legislador ha tenido que responder mediante la expedición de normas[3] que regulen el tratamiento de datos personales en desarrollo del derecho constitucional conforme a la evolución de las actividades y de las nuevas tecnologías asociadas a éstas.

En igual sentido, la máxima autoridad nacional, en relación con el tratamiento de datos personales que no sean de carácter financiero, esto es la Superintendencia de Industria y Comercio (SIC), ha evolucionado la protección y la normativa aplicable frente al reto tecnológico[4].

Big Data

Pues bien, de poco más de una década para acá, el reto jurídico en relación con el Hábeas Data, comprende el Big Data, concebido éste como una nueva metodología de trabajo cuya posibilidad de realización obedece al acelerado desarrollo de las tecnologías de manejo de la información, que permiten el tratamiento de grandes volúmenes de datos, que igualmente se generan día a día gracias a las mismas tecnologías, se calcula que cada día se generan en el mundo 2.5 exabytes de datos[5], y que al menos el 90% de los datos guardados en la actualidad, han sido creados durante los dos últimos años. Se considera que en la era de la información los datos son el equivalente económico al oro[6], y que una adecuada gestión de éstos brindará importantes oportunidades en la toma de decisiones que generalmente redundarán en oportunidades de negocio o beneficio económico.

Viktor Mayer-Schönberger, profesor de regulación y gestión de internet en el Internet Institute de la Universidad de Oxford, y uno de los expertos más reconocidos internacionalmente en el mundo de los datos masivos, opina que[7]:

“En la era de los datos masivos, los datos son el nuevo oro. Pero este nuevo oro sólo puede ser desenterrado si usamos los datos que tenemos. Mucho valor permanece oculto porque los datos no son usados. Tener suficientes conjuntos de datos disponibles es esencial para que las startups que se dediquen a los datos masivos puedan prosperar, para que haya nuevos productos y servicios innovativos y para que en una escala más amplia pueda haber crecimiento económico.

Aquí el gobierno puede proveer subsidios para estimular el emprendimiento en temas de big data (y también para beneficiar a la sociedad). Pero este subsidio no sería económico (lo que es difícil de lograr en estos tiempos de austeridad, por otro lado), sino que es un subsidio en forma de datos que el gobierno ha recogido, de los cuales no se está usando todo su potencial y puede poner a disposición de las compañías de datos masivos y de la sociedad en su conjunto relativamente fácil.”

La idea principal del Big Data, es que a partir del tratamiento de cantidades inmensas de datos, se puedan comprender, ya sea por inferir o por descubrimiento, a través de poderosos procesadores y algoritmos, hechos o tendencias ocultos en las bases de datos cuyo análisis antes sólo se realizaba respecto de pequeñas cantidades de información. Adicionalmente, el Big Data permite extraer información sobre aspectos del día a día cuya cuantificación de manera independiente no arroja un resultado útil en general pero que de manera conglomerada puede cuantificar resultados de datos no estructurados pero que están correlacionados, ejemplo de esto son las fotografías cuya información comprende la localización a través de GPS, o las recomendaciones de Amazon basadas en la actividad de compradores de un mismo producto.

En la medida que se realizan búsquedas y se halla nueva información correlacionada, el algoritmo se alimenta de esta nueva información y genera nuevas búsquedas con resultados más exactos, esto se conoce como machine learning, o en español aprendizaje computacional. La idea general de esto es que en la medida en que se perfilan más las búsquedas, se pueden identificar problemas o soluciones a estos problemas, antes desconocidos, y cuya respuesta puede darse de manera pronta y eficiente, ejemplo de esto, puede un gobierno preparar una estrategia de salud eficiente si conoce los eventos que disparan los picos en ciertas enfermedades, la población afectada y las zonas de mayor influencia; el cambio con lo que tradicionalmente se ha hecho, es que siempre se hizo un análisis estadístico con base en pequeñas muestras de los datos y no con la totalidad de la data disponible.

Para la administración pública el Big Data representa una ventaja en la toma de decisiones, al realizar análisis predictivos le permite planear su desarrollo de manera eficiente, ajustar sus presupuestos conforme a necesidades reales, o velar por la prestación de servicios públicos eficientes, en beneficio de todos los ciudadanos, un ejemplo de esto puede ser el manejo del tráfico a través de plataformas como Waze, cuya información le permite programar mantenimientos y manejar el tráfico a las autoridades de cada ciudad en tiempo real.

El punto débil del Big Data es el tratamiento de datos personales, pues si bien la idea es obtener resultados a partir de la gestión de una inmensa cantidad de datos, estos pueden incluir datos personales, sensibles, privados o semiprivados, de carácter reservado o protegidos por la legislación de Protección de Datos Personales (PDP), la cual, nos exige para su recolección y tratamiento una autorización previa de su titular y la eliminación de cualquier riesgo derivado de un tratamiento inadecuado.

¿Por qué lo anterior es relevante para nosotros?

La administración pública de Bogotá no ha sido indiferente al Big Data, con una proyección futurista, a lo que se conoce como smart cities (ciudades inteligentes). Bogotá ha apoyado la creación de la Agencia Analítica de Datos de Bogotá(Ágata). Con la finalidad de impulsar la toma de decisiones basadas en datos, y la generación de soluciones analíticas para transformar la ciudad y mejorar la calidad de vida de las personas, la iniciativa de la Alcaldía fue apoyada por empresas del Distrito, generando no sólo un apoyo económico por su participación en la creación de esta empresa, sino logístico mediante el aporte de la materia prima, esto es, parte de los datos disponibles en la base de datos de éstas.

Tratamiento de Datos Personales

Bajo el régimen de Protección de Datos Personales en Colombia, Dato Personal, es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables[8]. Respecto de los datos personales, puede predicarse que estos sean de carácter: Sensible, Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos; Privado, es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular; Semiprivado, es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la Ley 1266 de 2008.

Como categoría de especial protección tenemos los datos personales de niños, niñas y adolescentes, cuyo tratamiento, en principio está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho tratamiento responda y respete el interés superior de los niños, niñas y adolescentes; y; se asegure el respeto de sus derechos fundamentales.

De lo anterior, tenemos que, Dato Personal es cualquier información, es decir que desde el contenido, conforme a la evolución de la tecnología puede ser cualquier cosa, cuya naturaleza permite individualizar a un individuo y su comportamiento, ejemplo de esto son las cookies, que permiten identificar al usuario de una computadora, su comportamiento en la red.

Big Data e Inteligencia Artificial (IA)

Siguiendo la guía de la Superintendencia de Industria y Comercio (SIC) “Recomendaciones Generales para el Tratamiento de Datos en la Inteligencia Artificial” podemos concretar la relación entre la inteligencia Artificial y el Big Data, como: “término “sombrilla” que incluye una variedad de técnicas computacionales y de procesos enfocados a mejorar la capacidad de las máquinas para realizar muchas actividades, los que comprenden desde modelos algorítmicos, pasando por los sistemas de machine learning, hasta llegar a las técnicas de Deep learning.

Particularmente se vincula el uso de algoritmos a la IA, los cuales son un conjunto de reglas o una secuencia de operaciones lógicas que proporcionan instrucciones para que las máquinas tomen decisiones o actúen de determinada manera.

Los datos personales son esenciales para la IA porque se han convertido en un insumo crucial para el funcionamiento de algunos sistemas de inteligencia artificial. En efecto, la IA involucra la recolección, el almacenamiento, análisis, procesamiento o interpretación de enormes cantidades de información (big data), que es aplicada para la generación de diversos resultados, acciones o comportamientos por parte de las máquinas.

Surge la preocupación que el uso de información de carácter personal para el desarrollo de la IA sea respetuoso de los derechos humanos y del marco normativo aplicable al tratamiento de datos personales.”

Es importante resaltar que la normatividad sobre Protección de Datos Personales, reconoce la importancia en la protección de los datos que son objeto de tratamiento, sin embargo, también reconoce la importancia de realizar el tratamiento, para la realización de diversas actividades lícitas, legítimas y de interés general o particular, como es el caso de Ágata. Por eso, la normatividad no se opone al tratamiento, sino que exige que el mismo esté rodeado de garantías adecuadas. En suma, las reglas sobre tratamiento de datos personales buscan evitar cualquier abuso que pueda generar una amenaza o vulneración de los derechos que asisten a los titulares de los datos, sin perjuicio del interés general que le asiste a la Administración Pública

Tratamiento de Datos Personales y Big Data

Teóricamente no hay un tratamiento de datos personales, cuando la información de las personas naturales es anonimizada o desasociada, pues, en teoría se tratan de datos que no pueden hacer identificable a una persona, pero cuya muestra y tratamiento pueden representar información importante para el responsable.

El Big Data, por comprender una vasta cantidad de información, desarticula la posibilidad de tratamiento anonimizado o desasociado, pues a través de la correlación de datos anónimos, puede lograr inferir los datos personales de un determinado titular.

Recomendaciones

Atendiendo lo anterior, son recomendaciones de la SIC en su guía[9] las siguientes:

1) Cumplir con las normas locales sobre tratamiento de datos personales.

2) Efectuar de manera previa estudios de impacto de privacidad. Esto con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos que garanticen el adecuado tratamiento de los datos.

3) Incorporar la privacidad, la ética y la seguridad desde el diseño y por defecto. Haciendo que el manejo y respeto de la privacidad sea el modo de operar predeterminado de la organización.

4) Adoptar un esquema de seguridad apropiado al tipo de datos que serán tratados, identificando: tipo de riesgos, libertades de los titulares, naturaleza de los datos, posibles consecuencias en caso de vulneración, titulares y cantidad de la información, tamaño de la organización, recursos disponibles, monitoreo de los algoritmos, finalidades del tratamiento, cualquier otra que se considere adecuada.

5) Materializar el principio de responsabilidad demostrada. Esto comprende adoptar todas las medidas útiles, apropiadas y efectivas para demostrar el cabal y completo cumplimiento de los deberes derivados del régimen de protección de datos personales.

6) Adoptar esquemas apropiados de Gobernanza sobre el Tratamiento de Datos Personales.

7) Medidas para garantizar los principios en el Tratamiento de Datos Personales en proyectos de Inteligencia Artificial.

8) Respetar los derechos de los titulares de los Datos Personales, implementando los mecanismos adecuados para el ejercicio de estos.

9) Asegurar la calidad de los datos.

10) Utilizar herramientas efectivas de anonimización.

11) Incrementar la confianza y la transparencia con los titulares de los Datos Personales.

[1] En este sentido téngase en consideración la Directiva 95/46/CE (24 de octubre de 1995), que constituye el texto de referencia, a escala europea, en materia de protección de datos personales. Crea un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea (UE); http://148.202.167.116:8080/xmlui/handle/123456789/1228. En el año 2018 fue actualizada mediante el Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE); https://www.powerdata.es/gdpr-proteccion-datos. En Estados Unidos de Norteamérica, se han expedido diferentes normativas estatales, en relación con el segmento a regular, siendo algunos ejemplos de esto: “Health Insurance Portability and Accountability Act (HIPAA); Fair Credit Reporting Act (FCRA); Family Educational Rights and Privacy Act (FERPA); Gramm-Leach-Bliley Act (GLBA); Electronic Communications Privacy Act (ECPA)”. https://www.nytimes.com/wirecutter/blog/state-of-privacy-laws-in-us/ [2] Constitución Política de Colombia, Art. 15, “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. (…)” [3] Al respecto: Ley 1266 de 2008 “Por la cual se dictan las disposiciones generales del Hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. (Hábeas Data)”; Ley 1581 de 2012“Por la cual se dictan disposiciones generales para la protección de datos personales”; Ley 1712 de 2014 “Por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones.”. [4] Prueba de ello son las múltiples guías para la protección y tratamiento de datos personales que la entidad ha expedido, entre las más relevantes encontramos: “Cartilla - Protección de los Datos Personales en los servicios de computación en la nube (Cloud Computing)”, “Aspectos Prácticos sobre el Derecho de Hábeas Data”, “Guía para la Implementación del Principio de Responsabilidad Demostrada”, “Protección de Datos Personales en sistemas de videovigilancia”, “Guía para solicitar la declaración de conformidad sobre las trasferencias internacionales de datos personales”, “Recomendaciones Generales para el Tratamiento de Datos en la Inteligencia Artificial”, “Guía para la gestión de incidentes de seguridad en el Tratamiento de Datos Personales”, “Guía sobre el tratamiento de datos personales en las entidades estatales.” , entre otras, éstas se pueden descargar en: https://www.sic.gov.co/centro-de-publicaciones?field_global_topic_tid=7037&field_anos_p_value=All. [5] Pág. Aproximación Jurídica y Económica al Big Data. ISBN: 9788490866337. Editorial: Tirant Lo Blanch. Fecha de publicación del libro: 2015-10-01 Lugar de edición: España. Autor/es: Javier Puyol Montero. Enlace: https://www.tirantonline.com.co/cloudLibrary/ebook/show/9788490866337?showPage=1 [6] https://www.eldiario.es/tecnologia/diario-turing/big-data_1_5767121.html [7] Ibid. [8] Ley 1581 de 2012, Art. 3º. [9] Superintendencia de Industria y Comercio (SIC) “Recomendaciones Generales para el Tratamiento de Datos en la Inteligencia Artificial”, https://www.sic.gov.co/sites/default/files/files/pdf/1%20RIPD%20(2019)%20RECOMENDACIONES%20GENERALES%20PARA%20EL%20TRATAMIENTO%20DE%20DATOS%20EN%20LA%20IA.pdf