Cómo garantizar el equilibrio entre la potencia del software y la protección de datos

por Noemi Baz - Data Protection Officer
| minutos de lectura

En muchos casos, las tecnologías de datos alimentan las funcionalidades de algunas de las aplicaciones de uso más comunes, funcionando como base para la construcción de dichas soluciones de software. Asistentes virtuales que deben ser entrenados, sensores de IoT, inteligencia artificial, aplicaciones médicas y sistemas predictivos y prescriptivos, son solo algunos ejemplos que ponen en evidencia la importancia de los datos. Tal es la capacidad y utilidad de estas herramientas, que hemos llegado a acostumbrarnos a una potencial invasión de nuestra privacidad al usarlas.

Esto, a priori, no debería ser algo negativo. Ciertamente, una solución de inteligencia artificial que permita identificar patrones de una enfermedad para facilitar el diagnóstico, o incluso llegar a anticiparla cuando se presentan ciertos síntomas, supone un gran logro. Pero no hemos de olvidar que los datos médicos son privados y se encuentran, lógicamente, especialmente protegidos.

Desde el momento en que se concibe y construye cualquier tipo de aplicación, el Reglamento General de Protección de Datos indica que estas deberían estar diseñadas teniendo en cuenta los principios de privacidad desde el diseño y por defecto. Por ejemplo, no se debería poder acceder al contenido de los dispositivos móviles sin un consentimiento expreso. De hecho, en muchas ocasiones, no es necesario disponer de ciertos datos para desplegar las funcionalidades. Así, una aplicación para encontrar los centros médicos más cercanos, podrá usar la geolocalización, mientras que un ecommerce, no necesariamente. 

 

Privacidad desde el diseño y por defecto

Debido al gran impacto de estas tecnologías, tenemos, por tanto, que asumir la responsabilidad sobre nuestros productos y tener en cuenta los potenciales riesgos desde el momento mismo en que comienza la etapa de ideación de una aplicación. El primer elemento que se debe valorar es el uso que se hace de dicha solución, de modo que los datos recogidos respondan solamente a la finalidad para la que son necesarios y nada más, como ubicar centros médicos o consultar la historia clínica, pero no para enviar publicidad de terceros o de otras empresas del grupo. Del mismo modo, la elaboración de perfiles es un tema bastante delicado, sobre todo cuando implica la toma de decisiones automatizadas en base a la información de carácter personal. 

Algunos principios básicos de la privacidad por diseño y por defecto son: minimizar la cantidad de datos, restringir su acceso, mantener contextos de tratamiento independientes, limitar el detalle de los datos personales que son tratados, informar debidamente a los usuarios sobre el tratamiento de su información, y controlar y actualizar la misma.

 

Mitos de la anonimización

Por otro lado, una de las partes que más preguntas suscita es la relacionada con los procesos de anonimización y pseudonimización. Debemos evaluar los medios, técnicas y procesos a utilizar para llevarlos a cabo, ya que hay muchas falsas creencias en cuanto a este tema:

  • La seudonimización no es lo mismo que la anonimización: a veces pueden confundirse, pero los datos personales seudonimizados también son personales, ya que continúa siendo posible identificar al propietario de los mismos, si se dispone de información adicional.
  • El cifrado y la anonimización no son iguales: sin embargo, y relacionada con el punto anterior, el cifrado puede ser una buena herramienta de seudonimización.
  • La anonimización no siempre reduce la probabilidad de identificación a cero: en algunos casos debemos asumir un riesgo residual de reidentificación.
  • Seguir las mismas prácticas de anonimización de otras empresas no garantiza obtener los mismos resultados: esto debería ser obvio, pero cada proceso de anonimización es único y responde a unos requisitos distintos derivados del tipo de datos, los fines del tratamiento y los potenciales riesgos.

Uso responsable de la información

Muchas empresas han visto como la digitalización afectaba a su operativa, obligándolas a adaptarse a la cambiante presión del mercado y al continuo surgimiento de nuevas tecnologías. Por ese motivo, se están haciendo grandes inversiones en infraestructuras críticas y replanteando los modelos comerciales.

Partiendo de esto, es posible construir aplicaciones de gran impacto y que mejoren la vida de las personas. Continuando con el ejemplo anterior, desde Sopra Steria hemos trabajado junto a la Fundación San Juan de Dios para aplicar inteligencia artificial en un proyecto pionero para detectar enfermedades raras, como el síndrome del corazón rígido. Del mismo modo, es posible conectar a las personas con amigos y familiares a miles de kilómetros de distancia, lo que a su vez permite que las empresas escalen su negocio de formas que antes hubieran sido imposibles. Sin embargo, la capacidad de la tecnología para amplificar y acelerar cambios de todo tipo nos lleva, de nuevo, a la necesidad de asumir la responsabilidad y gestionar su impacto.

Muchos servicios digitales generalmente se alimentan y mejoran mediante el acceso a datos personales de un individuo. Pero los costes de un mal uso de la información personal pueden ser considerables, tanto en que respecta a la vertiente económica como en la reputacional. Por ese motivo, es importante contar con el apoyo de expertos que tengan la responsabilidad y el compromiso de incluir este elemento fundamental, con el que complementen las capacidades y conocimientos en el desarrollo de soluciones tecnológicas.

Search