Big Data, Inteligencia Artificial, Internet de las cosas (“IoT” por sus siglas en inglés) y la tecnología 5G, son conceptos que forman parte ya de nuestro día a día y que a veces pueden resultar etéreos para el conjunto de la población. Desde hace décadas, la tecnología marca el ritmo de desarrollo de las sociedades a una velocidad nunca antes vista, lo que concluye en una colisión frontal con el rígido y perezoso (en evolución) ordenamiento jurídico.
El acceso generalizado a Internet por parte de la población y el uso del Big Data o el machine learning (la rama de la Inteligencia Artificial que permite que las máquinas aprendan sin necesidad de ser programadas por el hombre) por parte de las empresas, ha provocado que en pleno S.XXI tengamos menos control sobre nuestra información, principalmente personal, de lo que teníamos en la década de los años 80.
Prácticamente todas las aplicaciones que nos descargamos en nuestros smart phones piden acceso a determinada información personal (ubicación, voz, imágenes de la fototeca…). ¿Por qué? ¿Es realmente necesario que la empresa detrás de la aplicación acceda a esa información para prestar sus servicios? El Comité Europeo de Protección de Datos, antiguo Grupo de Trabajo del Artículo 29, (“CEPD”) ha analizado en el pasado, en diferentes dictámenes, el impacto que tiene el tratamiento de datos de geolocalización y el uso del IoT en los derechos y libertades de los interesados en materia de protección de datos. El propio CEPD alertaba ya en el año 2014 de los riesgos que podía entrañar el uso de esta tecnología sin ningún tipo de control, como por ejemplo, la vigilancia sistemática de las personas.
Este tipo de cuestiones son las que se llevan planteando varios años los expertos en materia de protección de datos de todo el mundo y que han llevado a la aprobación en 2016 del Reglamento (UE) 2016/679 Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), y su posterior entrada en vigor el 25 de mayo de 2018.
La preocupación existente por la protección de datos, especialmente dentro de la Unión Europea, es una realidad y las autoridades competentes además de velar por el cumplimiento de la normativa y tener potestad sancionadora, también invierten parte de sus recursos en la concienciación de la sociedad en materia de protección de datos. La Agencia Española de Protección de Datos ha elaborado infinidad de guías dirigidas tanto a ciudadanos como a empresas, destinadas a explicar de manera sencilla los principales derechos y obligaciones que tienen todas las partes implicadas en el tratamiento de datos personales.
Es innegable que el avance tecnológico de las sociedades, no sólo es necesario, sino que a su vez también es deseable. Dicho esto, no podemos olvidar que el uso masivo de nuevas tecnologías y la velocidad exponencial del desarrollo tecnológico implica enfrentarse desde una perspectiva jurídica a nuevos riesgos que amenazan derechos y libertades individuales protegidas por nuestro ordenamiento jurídico, Andrea Sánchez, abogada de Propiedad Intelectual, Industrial y Tecnología de Pérez – Llorca.
La protección de datos, responsabilidad de todos, empresa y ciudadanos
Tanto las empresas como los propios interesados tenemos que hacer un uso responsable de las posibilidades que nos ofrece la tecnología. Esta responsabilidad, para las sociedades, se inicia en la manera en la que estas recopilan información, trasladándose a todo el flujo de vida de la misma, con su tratamiento y la toma de decisiones empresariales con base a la misma. Además, no es solo relevante cómo maneja los datos una organización, sino las herramientas tecnológicas que utiliza para ello, con especial énfasis en las medidas implementadas previas al tratamiento de dicha información (privacy by design y privacy by default) que, cada vez, debe ser concebida desde su origen de manera robusta, garantista y orientada al usuario.
No es solo relevante cómo maneja los datos una organización, sino las herramientas tecnológicas que utiliza para ello, con especial énfasis en las medidas implementadas previas al tratamiento de dicha información (privacy by design y privacy by default) que, cada vez, debe ser concebida desde su origen de manera robusta, garantista y orientada al usuario, Andrea Sánchez, abogada de Propiedad Intelectual, Industrial y Tecnología de Pérez – Llorca.
Este tipo de medidas que, a priori, pueden implicar un aumento de los recursos organizativos, humanos y económicos de la empresa, pueden, en realidad, ser concebidas como una inversión a medio y largo plazo con efectos positivos para la empresa. Así, la inversión en la concienciación interna de la empresa en la utilización responsable de la tecnología, aún más cuando hay implicados datos personales, se refleja positivamente, entre otros, en la posición preferente que obtiene la empresa en el mercado frente a aquellas compañías que descuidan los aspectos relacionados con la privacidad, así como en la mejor situación que podría tener ante potenciales requerimientos por parte de la Agencia Española de Protección de Datos.
Por otro lado, los interesados necesitamos ser más conscientes de las implicaciones fácticas y legales de la pérdida de control sobre nuestros datos, y tener mayor conciencia y entendimiento sobre los términos incluidos en las políticas de privacidad, el tratamiento que se hace de nuestros datos y, sobre todo, las finalidades que tiene dicho tratamiento y las posibles cesiones que se pueden producir.
En este sentido, el principio de responsabilidad proactiva que impone el RGPD al responsable del tratamiento (que es la empresa que decide sobre los medios y los fines del tratamiento de datos) debería extenderse para ser concebida como una obligación individual y colectiva de todos los interesados, quienes ponemos a disposición de las empresas nuestra información personal, muchas veces de manera despreocupada.