AD 74/2019
Resumen:
El Reglamento General de Protección de Datos comenzó a regir a mediados del año pasado, generando cambios radicales en distintos ámbitos, estableciendo definiciones clave para la aplicación de ésta. El objeto de esta regulación apunta hacia los datos personales, definiéndola en caracteres amplios y con pequeñas limitaciones, sin embargo la tecnología avanza de forma tan voraz que cualquier regulación que trate dichos temas tendrá lagunas con el paso del tiempo, lagunas que se deben colmar para evitar incerteza jurídica. Una de esas lagunas tiene que ver con los datos inferidos, por lo que a través del análisis situacional veremos distintas posiciones teóricas, y finalmente la compararé con lo que a mi juicio el Reglamento da como solución.
Abstract:
The General Regulation of Data Protection began to rule in the middle of last year, leading to radical changes in different areas, establishing key definitions for the implementation of this. The purpose of this regulation points towards personal data, defining it in wide characters and with minor limitations, however the technology advances so voraciously that any regulation that address those issues will have gaps over time, gaps that must be filled in order to avoid legal uncertainty. One of these gaps has to do with inferred data, therefore through situational analysis we will see different theoretical positions, and finally I will compare them with what according to my judgment the Regulation gives as a solution
Palabras clave: Inteligencia artificial, machine learning, protección de datos, reglamento general de protección de datos, datos personales, big data.
Para nadie resulta extraño el gran flujo de datos que existe actualmente respecto de las más distintas situaciones, desde datos de empresas ligados a números de teléfono o información sobre su administración, hasta datos biométricos con exactitud alarmante, los que pueden incluso suponer una importante vulneración a nuestros derechos, todo lo anterior con distintos objetos, como podría ser la venta de algún producto (situación que puede llegar a agobiar con llamados telefónicos, mails y distintas formas de contacto) o aumentar deliberadamente los precios debido a lo dispuestos que estamos a pagar de más por obtener algún objeto que realmente nos interesa, tal como sucedió años atrás con una conocida empresa de ventas por internet.
Debido a las irregularidades y abusos cometidos por muchas empresas de todo el mundo, así como por el crecimiento del internet, el reconocimiento de nuestros datos como herramienta de uso para mejorar las gestiones empresariales, y sobre todo la explotación de los mismos para fines fraudulentos, es que los gobiernos fueron los llamados a dictar legislación acorde a éstos tiempo, esfuerzos que dieron frutos a través del Reglamento General de Protección de Datos dictado por la Unión Europea, que viene a ser la gran guía para distintos países fuera de la Unión (como es el caso de mi país de origen, Chile) sobre cómo se debe regular todo lo relacionado con el uso de nuestros datos personales, principalmente los derechos que asisten al ciudadano, obligaciones a las empresas que las usan, y el refuerzo de medidas de seguridad proactivas en vista de la importancia que posee esta temática.
Como toda buena regulación, debemos saber a quién, qué, y respecto de qué situaciones protege, por lo que en dicho reglamento se establecen una serie de conceptos necesarios para la seguridad y certeza jurídica en el área, sin embargo debido al objeto de esta columna, nos detendremos en torno al elemento principal de la presente regulación: Los datos personales.
Sin mayor abundamiento, se define dato personal como “Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”. Sin embargo, no debemos dejar de lado la exigencia establecida artículos más adelante, respecto de la identificabilidad, por lo que es necesario establecer que se deben excluir los casos en que el esfuerzo de la identificación sea desproporcionado.
Y es acá donde inician las dudas. ¿Qué significa que sean desproporcionados? Esta es una de las grandes críticas que se realiza al reglamento, ya que hace uso (y según algunos, abuso) de los conceptos válvulas y de amplia generalidad, lo que a la larga genera inseguridad jurídica respecto de la forma de cumplimiento, cómputo de plazos, sujetos obligados, y en el caso en concreto sobre la figura del interesado y sus datos protegidos.
De cierta manera, la obtención de la persona a través de distintos datos puede ser algo más o menos engorroso, dependiendo netamente de la forma o mecanismo en que estos datos se entrelacen unos con otros, y con la finalidad de los mismos, sin embargo ¿hasta qué punto se puede decir que es desproporcionado, por ejemplo, el uso de machine learning e inteligencia artificial con el objeto de lograr establecer determinados gustos de grupos de personas? ¿Es desproporcionado la búsqueda de identificación de alguien a través de inferencia de sus propios datos, luego de que el interesado haya solicitado la devolución o traspaso de sus datos personales?
Sobre lo anterior, logramos llegar a la conclusión de que los datos personales abarcan casi todo aspecto que nosotros mismos conocemos de nosotros mismos (suena tautológico, pero no deja de tener sentido), ya que de otra forma no podríamos haberlos transferido, sin embargo ¿qué ocurre respecto a lo que no conocemos de nosotros mismos? ¿Puede ser incluido dentro del concepto de los datos personales dados por el reglamento? ¿Son cubiertos por los derechos que otorga? Me explico con el siguiente ejemplo: Los algoritmos correspondientes son capaces de identificar distintos datos simples: Color de pelo, nivel de estudios y vistas en páginas de streaming, por ejemplo. Si la combinación de estos tres factores permiten inferir (a través de cualquier forma, sobretodo si es “desproporcionada”) una serie de datos e información que nosotros no sabemos de nosotros mismos, como por ejemplo interés en determinado deporte o la mayor posibilidad de contraer alguna enfermedad, ¿de quién serían los datos obtenidos? ¿Quedarían dentro de la regulación del reglamento? ¿Estarían sujetos a las obligaciones y relación de titularidad respecto a la autodeterminación informativa para poder ejercer un control real y no solo formal de dicha situación?
Debido a la extensión de este ensayo, nos quedaremos con la pregunta que le da título a este trabajo y dejaremos las otras para su desarrollo en otra oportunidad. Para mejor entendimiento respecto a lo expuesto en los primeros párrafos, debemos decir que desde hace años se están manejando variadas técnicas respecto al tratamiento de datos, dentro de las cuales el machine learning ha tenido una importante preponderancia en razón de las distintas opciones que nos otorga al momento de analizar una gran cantidad de volumen de datos, como por ejemplo el modelado causal y la predicción de vínculos.
En razón de los distintos mecanismos presentes en la ingeniería de datos, y a través de determinados datos personales otorgados bajo los requisitos del Reglamento, se puede obtener información propia del sujeto que ni él mismo conocía, como por ejemplo gustos particulares, opciones de interés, y proyecciones de vida, entre otros. De esta manera, tenemos un conjunto de datos obtenidos a través de diferentes métodos, los cuales no fueron objeto del consentimiento del sujeto interesado ¿Estos nuevos datos inferidos son propiedad de quien los infiere o de quien proporciona sus datos? ¿Cabe acá hablar de una extensión del consentimiento?
Sobre el particular, podrían existir dos posiciones en conflictos. Por un lado los que sostienen que las empresas que infieren los datos poseen la titularidad sobre éstos, y por otro los que apuntan a los interesados como los titulares.
Quienes decantan por la primera opción, podrían realizarlo en relación al funcionamiento algorítmico agregado al sentido de propiedad, mientras que los que decantan por la otorgar al interesado la titularidad de aquellos apuntan a la extensión del consentimiento respecto de los datos.
En el primer sentido se podría argumentar la idea de que los datos inferidos provienen de una maquinación realizada a través de distintos medios, principalmente inteligencia artificial o machine learning en sus distintas ramas, por lo que si bien el interesado entregó la “materia prima” que permitió generar estos nuevos datos personales, el proceso en todas sus áreas es producto de la empresa que realiza el tratamiento de dichos datos. De esta manera los datos inferidos se desentienden del interesado y pasan a ser parte del patrimonio de la empresa que los trató, no teniendo una relación o vínculo de titularidad alguno con el interesado.
De esta manera, al consentir el uso de los datos personales, se está realizando el consentimiento respecto de dichos datos, no de los inferidos, por lo que éstos debiesen quedar fuera de la extensión del consentimiento otorgado, ya que no fueron objeto del mismo.
Sumado a lo anterior, cabe destacar que cuando se realiza un traspaso de datos o se autoriza al uso de los mismos, en realidad lo que se están entregando de manera temporal no son los datos como entidad abstracta y sin especificación, ya que sería lo mismo a entregar la capacidad de poseer bienes o no un bien o un conjunto de bienes en específico. Al contrario, lo que se está entregando es determinado dato específico, el cual posee ciertos elementos que lo hacen ser personal, de esta forma el consentimiento recaería sólo respecto de los datos solicitados y autorizados debidamente por el interesado.
Por otro lado, los segundos apuntarían a la extrapolación del consentimiento otorgado respecto de los primeros datos (o datos base) a los segundos (datos inferidos), debido a que los interesados estuvieron de acuerdo respecto del tratamiento de sus datos personales, por lo que realizaron las gestiones y cumplieron con las formalidades solicitadas por el Reglamento. Es en relación a lo anterior que, como hay una relación absoluta de titularidad de datos personales entre éstos y sus respectivos interesados, cada vez que acepta el uso de ellos para distintos tratamientos, la información desconocida para él sigue teniendo el vínculo de titularidad, ya que al haber consentimiento expresado según lo dispuesto por el Reglamento, se puede presumir una intención de sólo transferirlos temporalmente con el objeto de determinado tratamiento, y no de manera indefinida.
Finalmente, y como no podría faltar, es probable la existencia de una posición ecléctica, en donde se buscaría la conciliación de ambos argumentos. Sobre esto, se podría argumentar que debiésemos atender al caso concreto, tomando en consideración tanto el consentimiento informado del interesado en conjunto a la información respecto del tratamiento de los datos personales, principalmente en relación a los fines del mismo. Siguiendo esta lógica, el interesado que acepte el uso de sus datos personales en un determinado tratamiento que permita la inferencia de otros distintos mantendría la titularidad de ellos, sin embargo en el caso que no acepte dicho tratamiento y se realice de igual manera, quedaríamos en el absurdo de que dichos datos inferidos tendrían un vínculo de titularidad respecto de quien trataba esos datos sin el consentimiento del interesado.
¿Cómo soluciona esto el RGDP?
Sobre el particular, debemos circunscribir la pregunta a uno de los derechos que se le reconocen al interesado respecto de la gestión de datos: La portabilidad.
Esto toma sentido toda vez que la portabilidad tiene como base la titularidad de autodeterminación del interesado, ya que es la forma en que éste puede ejercer un control efectivo luego de dar la autorización para el uso de sus datos. De esta manera, si no hubiese vínculo de titularidad por parte del interesado, no podría solicitar el traspaso de los datos que fueron cedidos a la empresa tratante, de esta manera llegamos a la conclusión que solo puede pedir la devolución de lo que tiene bajo el vínculo de titularidad.
La respuesta a la interrogante la encontramos dentro del artículo 20 y considerando 68 del reglamento, ya que ambas apuntan a tres requisitos para poder realizar la portabilidad: 1) Datos que conciernen al interesado. 2) Datos que este haya proporcionado a un responsable y 3) No debe afectar derechos y libertades de terceros.
Si nos quedásemos solo con el primer requisito, la respuesta sería sencilla: Los datos inferidos por parte de tratantes poseen un vínculo de propiedad con el interesado, ya que la amplitud del término utilizado permite englobar un sinfín de datos personales de variados tipos, todos ellos definidos anteriormente. Sin embargo estos requisitos son copulativos, por lo que debemos analizar el segundo requisito, y el más importante para este pequeño trabajo, correspondiente a que hayan sido proporcionados a un responsable.
¿Qué significa que sean proporcionados a un responsable? Básicamente se puede realizar de dos formas: De carácter activo y consiente, o por el uso de un servicio o dispositivo. Sin embargo sólo se puede realizar respecto de estas situaciones de manera tal que los datos inferidos a través de éstos quedarían en propiedad de la empresa, todo lo anterior sin perjuicio de los otros derechos que les permite ejercer el Reglamento con objeto de proteger de posibles perturbaciones a la persona, pero no así a sus datos.
De esta manera, llegamos a la conclusión de que si bien hay una cantidad considerables de propuestas teóricas para determinar sobre la titularidad de los datos inferidos respecto de un interesado, el RGPD se decantó por la opción que otorga dicha opción a los tratantes de los datos, negando tácitamente la existencia de un vínculo de titularidad entre dichos datos personales y el interesado.
Enrique Saavedra Pizarro
Chile, 4 de septiembre de 2019
Bibliografía
Directrices sobre el derecho a la portabilidad de los datos, Comisión Europea. [Disponible en: https://sic.us.es/sites/default/files/pd/ngpd_portabilidad.pdf]
Reglamento General de Protección de Datos de la Unión Europea. [Disponible en: https://www.boe.es/doue/2016/119/L00001-00088.pdf]
Enrique Alejandro Saavedra Pizarro
Egresado de la Escuela de Derecho en la Pontificia Universidad Católica de Valparaíso, Chile.
Actualmente procurador en el estudio jurídico Altamar Asociados, dedicados al área comercial, propiedad intelectual e industrial.
Últimamente centrado en la investigación sobre nuevas tecnologías su relación con el Derecho, principalmente las relativas a blockchain, inteligencia artificial y protección de datos personales, realizando su tesis en la naturaleza jurídica de los smart contracts.
Contacto: Enriquealejandro.saavedra@gmail.com
LinkedIn: Enrique Alejandro Saavedra Pizarro
