¿A quién pertenecen mis datos?

En el corazón de Madrid, en pleno barrio de Malasaña, El Paracaidista, un multiespacio inaugurado recientemente que es tienda y lugar de ocio a la vez, registra los datos de los clientes que acceden a él. Un aparato recibe al consumidor en la puerta, para que este matricule su correo electrónico, nombre o apellidos. Este es uno de los muchos casos que están floreciendo en diferentes sectores y negocios. Ya es de sobra conocido que los datos, la valiosa información que los usuarios dejan con cada paso dado, es la nueva materia prima a explotar. Lo que sin embargo no está tan claro es a quién pertenece el nuevo oro negro.

Resolver esta duda, o al menos intentarlo, ya que la jurisprudencia siempre va por detrás de los acontecimientos, es lo que se propuso Deusto Business School en la jornada Vulnerabilidades y marco jurídico en la gestión de datos masivos. “Si los datos son el bien del futuro, debería regularse sobre ellos como se hace con otros bienes, y así dilucidar, entre otros puntos, quién es el propietario de esta información”, argumentó el director del Servicio Jurídico de Madrid Digital, vinculado a la Comunidad de Madrid, Luis Moll. El director de la Cátedra Google-CEU de Privacidad, Sociedad e Innovación, José Luis Piñar, lo tiene claro: “Los datos son del titular del dato. Es un derecho de la personalidad”.

No obstante, prosiguió Moll, y pese a que la propiedad es el derecho más amplio de una persona sobre otra cosa, “las empresas e instituciones, hoy por hoy, pueden usar los datos siempre y cuando no pongan en riesgo información sensible”. Pero esto es a día de hoy factible únicamente cuando se anonimiza el dato, es decir, cuando se introduce en una base enorme junto a la información de otros usuarios para extraer conclusiones grupales. Siempre en conjunto.

Pero el big data no siempre sigue esta regla. “Los datos se van engordando con otros datos sucesivamente, y así se crea una información que se analiza y se procesa”, explicó el director de seguridad corporativa de Telefónica, Bernardino Cortijo. “Es decir, es cierto que si se anonimiza un dato, la información es totalmente confidencial. El verdadero problema llega cuando los datos de un usuario se interrelacionan, ya que entonces la información deja de ser tan anónima”. Dicho de otro modo: un dato por sí solo, mientras no sea relevante, no es peligroso. “Pero existe una cantidad ingente de información que, aunque a priori no tiene ninguna importancia, si se mezcla y se analiza, puede desmembrar por completo la identidad de un sujeto", añadió Cortijo, poniendo como ejemplo los call centers de su compañía.

Porque un detalle a tener en cuenta, que con la analítica de datos se vuelve trascendental, es la vulnerabilidad que presenta la conducta humana, y es que “el 93% del comportamiento de las personas es predecible”, sostuvo el director de diseño y desarrollo de IT en Vodafone, Bernardo García. “Nos movemos siguiendo estímulos y patrones que, si bien es cierto que aislados no se entienden, analizados en conjunto terminan por señalarnos”. Por ejemplo: no es necesario tener el nombre, apellido o número de cuenta bancaria de un miembro de una familia cualquiera: “Monitorizando sus movimientos, la velocidad con la que mueve el ratón o las páginas que visita, puedes saber quién está en cada momento sentado frente al ordenador. Por eso, si con algo tan simple puedes conocer a un usuario, si la información verdaderamente sensible cae en malas manos, las consecuencias son realmente dramáticas”, continuó García. Precisamente por eso, aunque la ley permita tratar todos los datos captados, “las organizaciones tenemos que tener cuidado con toda esta información”.

Uno de los métodos más efectivos es, según García, “extraer únicamente el valor que necesitamos de cada dato y de cada análisis, y no ir más allá”. Las empresas ya tienen la capacidad de sacar todo tipo de conclusiones de la información que colectan, pero no todas son útiles para su modelo de negocio. “Por eso, hay que deshacerse de la que realmente no sirve”. En esto coincidió Cortijo: “Hay que eliminar de la base de datos todo lo que no es necesario para el negocio, de la misma forma que deben implantarse medidas de protección previas a cualquier proceso de big data, como establecer cuál es la finalidad del proceso, para no ir más allá”.

Otra de las claves que deberían copiar las empresas, explicó García, es combinar todo dato existente con un proceso estadístico. “Esto ayuda a que se extraiga el dato necesario y que al mismo tiempo la identidad del usuario, al estar rodeada de miles de identidades más, quede totalmente protegida. Esta es, de hecho, una de las formas más eficaces de anonimizar la información”. Las empresas quieren el qué y los porqués. El quién es totalmente innecesario.