Presentación de la ponencia impartida en el Seminario Internacional de Estadística, sobre Privacidad y Big Data, organizado por el Eustat (2016-11)

1. • Pedro Alberto González
http://www.avpd.eus
Privacidad y “Big Data”

2. Guión de la sesión
1. “Big Data” visto desde la privacidad
2. “Framework” de la privacidad
3. “Big Privacy”: Tensión y equilibrio
4. Recomedaciones y Conclusiones
http://www.avpd.eus Principios de la Protección de Datos 2

3. Gartner 20132016:
“Curva de expectativas”
http://www.avpd.eus Principios de la Protección de Datos 3
2016
2013

4. Lugares comunes sobre
“Big Data”
• “La información es la gasolina del siglo
XXI, la analítica, el motor”
• “El Big Data es el oro del siglo XXI”
• “Los Datos están ahí fuera,
esperando a que
obtengamos
rendimiento de ellos”
http://www.avpd.eus Principios de la Protección de Datos 4

5. La fiebre del “Big Data”
http://www.avpd.eus Principios de la Protección de Datos 5

6. Tendencia del Interés
“Big Data” vs “Privacy”
http://www.avpd.eus Principios de la Protección de Datos 6

7. Privacidad, ¿para qué?
http://www.avpd.eus Principios de la Protección de Datos 7

8. http://www.avpd.eus Principios de la Protección de Datos 8
La Protección de Datos:
un Derecho Fundamental
• Art. 18.4 de la Constitución (1978):
– “La Ley limitará el uso de la informática para garantizar
el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio en su derecho”
• Art. 1 de la Ley Orgánica 15/1999, de Protección
de Datos de Carácter Personal:
– “La presente Ley Orgánica tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente
de su honor e intimidad personal y familiar”

9. http://www.avpd.eus Principios de la Protección de Datos 9
… y un Derecho Fundamental Europeo
• Carta de los Derechos Fundamentales de la
Unión Europea (2000)
– Artículo 1: Dignidad humana
– Artículo 2: Derecho a la vida
– Artículo 3: Derecho a la integridad de la persona
– Artículo 4: Prohibición de la tortura y de las penas o los tratos
inhumanos o degradantes
– Artículo 5: Prohibición de la esclavitud y del trabajo forzado
– Artículo 6: Derecho a la libertad y a la seguridad
– Artículo 7: Respeto de la vida privada y familiar
–Artículo 8: Protección de datos
de carácter personal

10. Falacias sobre la Privacidad:
“no tengo nada que ocultar…”
• Consecuencia de:
– La sociedad post-”11-S”
– La confrontación
Libertad vs Seguridad
• Y de la preferencia
del “hombre de la
calle” por la
seguridad frente a
sus contrapartidas
http://www.avpd.eus Principios de la Protección de Datos 10

11. La privacidad en tiempos revueltos
http://www.avpd.eus Principios de la Protección de Datos 11
"Decir que uno no se preocupa por el
derecho a la privacidad, ya que no
tienen nada que ocultar,
no es diferente a decir que no
importa la libertad de expresión
porque uno no tiene nada que decir"

12. Pero también interviene la
“Sociedad de Servicios en Red”
• su financiación en base
a la publicidad
– “Que mas me da, si
obtengo algo gratis…”
– La preferencia de “el
hombre de la calle” de
“servicios gratis” frente a
sus contrapartidas
http://www.avpd.eus Principios de la Protección de Datos 12
“Cuando tu no pagas por un producto,
TU eres el producto

13. Informe (mayo, 2014)
de la Casa Blanca
http://www.avpd.eus Principios de la Protección de Datos 13

14. Posición del ‘#art29WP’
sobre ‘Big Data’ (sep. 2014)
• “Some stakeholders assert that the application of
some data protection principles and obligations under
EU law should be substantially reviewed to enable
promising forthcoming developments in big data
operations to take place”
• “However, at this stage, it has no reason to believe
that the EU data protection principles (…) are no
longer valid and appropriate for the development of
big data (…)
• “It also needs to be clear that the rules and principles
are applicable to all processing operations, starting
with collection in order to ensure a high level of data
protection.”
http://www.avpd.eus Principios de la Protección de Datos 14

15. PRINCIPIOS DE LA
PROTECCIÓN DE DATOS
http://www.avpd.eus Principios de la Protección de Datos 15

16. http://www.avpd.eus Principios de la Protección de Datos 16
Principios de la Protección de Datos
(en la LOPD)
• Información en la recogida
• Consentimiento del afectado
• Calidad / Minimización de los datos
• Protección especial de algunos datos
• Limitación de las cesiones de datos
• Deber de secreto
• Seguridad de los datos

17. Derechos de las personas
en la LOPD
• Derechos “A.R.C.O.”
–Acceso
–Rectificación
–Cancelación
–Oposición
http://www.avpd.eus Principios de la Protección de Datos 17

18. “principios relativos al tratamiento”
(art. 5 #RGPD)
• Licitud, lealtad y transparencia
• Limitación de la finalidad
• Minimización de datos
• Exactitud y vigencia
• Limitación del plazo de conservación
• Integridad y confidencialidad
• Responsabilidad proactiva
http://www.avpd.eus Principios de la Protección de Datos 18

19. BIG DATA Y PRIVACIDAD:
TENSIÓN Y EQUILIBRIO
http://www.avpd.eus Principios de la Protección de Datos 19

20. Opinión de las Autoridades en
Protección de Datos
• “Grupo de Berlín” (mayo, 2014)
– Doc. de trabajo sobre Big Data y Privacidad
• “Grupo del artículo 29” (sept, 2014)
– Declaración sobre el impacto del ‘Big Data’
• Conferencia Internacional de Autoridades
de PD (oct, 2014)
– Resolución sobre Big Data
http://www.avpd.eus Principios de la Protección de Datos 20

21. Cautelas / Motivos
de preocupación
A. Posible colisión con (algunos de) los
Principios de la Privacidad
1. Dudas sobre la habilitación para el
tratamiento y/o cesión de datos
2. Desviación de la Finalidad
3. Tratamiento excesivo de datos
4. Falta de Transparencia
5. Difícil gestión del consentimiento
B. Posibilidades de re-identificación
http://www.avpd.eus Principios de la Protección de Datos 21

22. http://www.avpd.eus Principios de la Protección de Datos 22
Colisión 1: Habilitación para el
tratamiento de datos
Tratamiento de datos
por
Consentimiento
por
Habilitación
Legal

23. Contexto de las
cesiones de Datos
http://www.avpd.eus Principios de la Protección de Datos 23

24. La “propiedad transitiva”
de las Cesiones
http://www.avpd.eus Principios de la Protección de Datos 24

25. La Licitud del tratamiento
en el #RGPD (art. 6)
A. Consentimiento (para uno o varios fines
específicos)
B. Ejecución de un contrato
C. Cumplimiento de una obligación legal
D. Protección de intereses vitales
E. Interés público o ejercicio de poderes públicos
F. Intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero
http://www.avpd.eus Principios de la Protección de Datos 25

26. Colisión 2:
Desviación de la finalidad
Lo que dice la actual LOPD (art. 4):
• (…)
• “Los datos de carácter personal objeto de
tratamiento no podrán usarse para finalidades
incompatibles con aquellas para las que los
datos hubieran sido recogidos.
• Los datos de carácter personal serán
cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para
la cual hubieran sido recabados o registrados.
http://www.avpd.eus Principios de la Protección de Datos 26

27. La finalidad y sus limitaciones en el
#RGPD
Lo que dice el actual #RGPD (art. 5):
• “Los datos personales serán recogidos con fines
– determinados, explícitos y legítimos,
• y no serán tratados ulteriormente de manera
incompatible con dichos fines;
«limitación de la finalidad»
• el tratamiento ulterior de los datos personales con
fines de:
• archivo en interés público,
• fines de investigación científica e histórica o
• fines estadísticos
• no se considerará incompatible con los fines iniciales
http://www.avpd.eus Principios de la Protección de Datos 27

28. Colisión 3: Tratamiento excesivo de
datos
• Maximización vs minimización de datos
• Lo que dice el #RGDP:
– “Los datos personales serán adecuados,
pertinentes y limitados a lo necesario en
relación con los fines para los que son
tratados”
http://www.avpd.eus Principios de la Protección de Datos 28

29. Colisión 4:
Falta de Transparencia
• Equivalente a los principios LOPD:
– Información previa a la recogida de datos
– Derechos A/R/C/O
• Acceso
• Rectificación
• Cancelación
• Oposición
• El #RGPD es más exigente en estos
principios que la LOPD
http://www.avpd.eus Principios de la Protección de Datos 29

30. El Derecho de información en la
LOPD
• En qué consiste
– Los ciudadanos y ciudadanas, tenemos derecho, cuando se nos
solicita cualquier tipo de dato personal, a que se nos informe
adecuadamente acerca del uso que se hará del nuestros datos.
• Nos deben informar de:
– la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la
información.
– si es obligatoria o facultativa la respuesta a las preguntas que nos
sean planteadas.
– las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
– la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
– la identidad y dirección del responsable del tratamiento o, en su caso,
de su representante....
http://www.avpd.eus Principios de la Protección de Datos 30

31. Excepciones al
derecho de información
• Cuando una ley lo prevea
expresamente ,
• Cuando el tratamiento tenga fines
históricos, estadísticos o científicos,
• Cuando la información al interesado resulte
imposible o exija esfuerzos desproporcionados (a
criterio de la Autoridad de Control
correspondiente)
http://www.avpd.eus Principios de la Protección de Datos 31

32. Colisión 5:
Gestión del Consentimiento
(… cuando fuese necesario…)
• “Big data” es, en esencia, reutilización
– En base a datos previamente existentes
– En mucho casos, no hubo consentimiento
– ¿Consentimiento retrospectivo?
• Puede darse un “abuso” del consentimiento de
“mala calidad”
– Condicionado (no libre)
– Difuso, (no inequívoco)
– Genérico, (no específico)
– Engañoso (no informado)
http://www.avpd.eus Principios de la Protección de Datos 32

33. Consentimiento
del afectado
• El tratamiento de los datos de carácter
personal requerirá el consentimiento
inequívoco del afectado
• El consentimiento podrá ser revocado
cuando exista causa justificada para ello y
no se le atribuyan efectos retroactivos.
http://www.avpd.eus Principios de la Protección de Datos 33

34. http://www.avpd.eus Principios de la Protección de Datos 34
¿ es válido el
Consentimiento tácito?
¡NO!.
El #RGPD habla del consentimiento como “manifestación
de voluntad,
– libre , inequívoca,
– específica e informada”
por la que el interesado acepta,
– ya sea mediante una declaración
– o una clara acción afirmativa,
el tratamiento de datos personales que le
conciernen

35. http://www.avpd.eus Principios de la Protección de Datos 35
Excepciones al consentimiento en la
LOPD
• Cuando una LEY disponga otra cosa.
• Cuando los datos se recojan para el
ejercicio de las funciones propias de las
Administraciones Públicas en el ámbito
de sus competencias

36. CAUTELAS POR
REIDENTIFICACIÓN
http://www.avpd.eus Principios de la Protección de Datos 36

37. Árbol de decisión para tratamientos en
Big Data
Datos
Personales
Identificados
Habilitación Legal
Consentimiento
Sin Tratamiento
Disociados
Pseudónimos
(dis. Reversible)
Anónimos
(dis. Irreversible)
No personales
http://www.avpd.eus Principios de la Protección de Datos 37

38. Ciclo de Vida del ‘Big Data’
Recopilación
Tratamiento
y
agregación
Análisis y
Correlación
Difusión
y/o Uso
http://www.avpd.eus Principios de la Protección de Datos 38

39. La disociación,
una herramienta muy útil
• Aplicable en distintas fases del
tratamiento ‘Big Data’
– Cuanto antes, mejor
• Especialmente, cuando intervienen
diferentes responsables
• Recomendada en el nuevo #RGPD
– Documento #art29WP sobre disociación
– Documento AEPD sobre anonimización
http://www.avpd.eus Principios de la Protección de Datos 39

40. Riesgo de Re-Identificación
• Cuando la agregación comprende colectivos
muy pequeños
• ‘Tuplas’ de variables que singularizan
individuos
– Código postal + Fecha nacimiento + sexo
• Cruce con otras bases de datos
– Caso NetFlix + IMDB
• Inferencias y deducciones
– Caso AOL
http://www.avpd.eus Principios de la Protección de Datos 40

41. RECOMENDACIONES
http://www.avpd.eus Principios de la Protección de Datos 41

42. Dictámenes del #art29WP relevantes
para ‘Big Data’
• 3/2013, sobre limitación de finalidades
• 6/2013, sobre ‘open data’ y reutilización
• 5/2014, sobre técnicas de anonimización
• 6/2014, sobre el concepto de ‘interés
legítimo’
• 8/2014, sobre el ‘Internet de las Cosas’
http://www.avpd.eus Principios de la Protección de Datos 42

43. Recomendaciones de la 36 Conferencia
Internacional de DPA’s
1. Respetar el principio de “limitación de finalidad”
2. Limitarla cantidad de datos recopilada según el
“principio de minimización”
3. Obtener, siempre que sea posible, un
consentimiento válido y de calidad
4. Ser transparente respecto de:
– Qué datos se recogen
– Cómo serán tratados
– Para qué finalidad serán usados y
– Si serán cedidos a terceras partes
http://www.avpd.eus Principios de la Protección de Datos 43

44. Recomendaciones de la 36
Conferencia … /2
5. Facilitar a los individuos acceso a los
perfiles elaborados y permitirles corregir
su información
6. Facilitar información sobre los
criterios/algoritmos usados para
establecer sus perfiles
http://www.avpd.eus Principios de la Protección de Datos 44

45. Recomendaciones de la 36
Conferencia … /3
7. Aplicar los principios de “Privacidad desde
el Diseño”
8. Aplicar técnicas robustas de anonimización
9. Cuidar especialmente la publicación de
datos pseudónimos y conjuntos de datos
indirectamente identificables
10.Demostrar que las decisiones sobre ‘Big
Data’ son justas, transparentes y
responsables (‘Accountability’)
http://www.avpd.eus Principios de la Protección de Datos 45

46. Recomendaciones adicionales,
a la luz del #RGPD
1. Efectuar “Evaluaciones de Impacto sobre
la Privacidad” antes de abordar
proyectos de Big Data
2. Aplicar los principios de
– “Privacidad por Defecto”
– “Privacidad desde el Diseño”
http://www.avpd.eus Principios de la Protección de Datos 46

47. http://www.avpd.eus Principios de la Protección de Datos 47
1.- Evaluaciones de impacto
sobre la Privacidad en #RGPD
• Art. 35.- Evaluación de impacto relativa a los
datos
– “Cuando sea probable que un tipo de
tratamiento, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto
o fines, entrañe un alto riesgo para los derechos
y libertades de las personas físicas, el
responsable del tratamiento realizará, antes del
tratamiento, una evaluación del impacto de las
operaciones de tratamiento en la protección de
datos personales.
– (…)

48. http://www.avpd.eus Principios de la Protección de Datos 48
Evaluaciones de impacto
sobre la Privacidad …/2
• Art. 35.- Evaluación de impacto relativa a los
datos - Deberá incluir, como mínimo:
– a) una descripción sistemática de las operaciones de tratamiento
previstas y de los fines del tratamiento, inclusive, cuando proceda, el
interés legítimo perseguido por el responsable del tratamiento;
– b) una evaluación de la necesidad y la proporcionalidad de las
operaciones de tratamiento con respecto a su finalidad;
– c) una evaluación de los riesgos para los derechos y libertades de los
interesados a que se refiere el apartado 1, y
– d) las medidas previstas para afrontar los riesgos, incluidas
garantías, medidas de seguridad y mecanismos que garanticen la
protección de datos personales.

49. ¿Cómo hacer Evaluaciones de impacto
sobre la Privacidad?
http://www.avpd.eus Principios de la Protección de Datos 49

50. 2.- La privacidad,
desde el diseño
http://www.avpd.eus Principios de la Protección de Datos 50

51. http://www.avpd.eus Principios de la Protección de Datos 51

52. 7 Principios fundamentales de la
Privacidad desde el Diseño
1. Diseño Proactivo, no Reactivo;
• Preventivo, no Correctivo
2. Privacidad como configuración por defecto
3. Privacidad incrustada en el diseño
4. Funcionalidad total:
• “Suma-Positiva”, no “Suma-Zero”
5. Seguridad en todo el ciclo de vida (“end-to-end”)
6. Visibilidad y transparencia – “Keep it Open”
7. Respeto a la privacidad personal (“User-centric”)
http://www.avpd.eus Principios de la Protección de Datos 52

53. Protección de datos desde el diseño y por
defecto en #RGPD
Art. 25.1.- Teniendo en cuenta
– el estado de la técnica, el coste de la aplicación
– y la naturaleza, ámbito, contexto y fines del tratamiento,
– así como los riesgos de diversa probabilidad y gravedad que entraña
el tratamiento para los derechos y libertades de las personas físicas,
el responsable del tratamiento aplicará,
– tanto en el momento de determinar los medios de tratamiento
– como en el momento del propio tratamiento,
– medidas técnicas y organizativas apropiadas, como la
seudonimización,
concebidas para aplicar de forma efectiva los principios de protección
de datos,
– como la minimización de datos,
e integrar las garantías necesarias en el tratamiento.
http://www.avpd.eus Principios de la Protección de Datos 53

54. http://www.avpd.eus Principios de la Protección de Datos 54
Art. 25.- Protección de datos desde el
diseño y por defecto
(…)
Art. 25.2.- El responsable del tratamiento implementará
mecanismos con miras a garantizar que,
• por defecto, solo sean objeto de tratamiento los datos
personales necesarios para cada fin específico del
tratamiento
• y, especialmente, que no se recojan ni conserven
más allá del mínimo necesario para esos fines, tanto
por lo que respecta a la cantidad de los datos como a
la duración de su conservación.
• En concreto, estos mecanismos garantizarán que, por
defecto, los datos personales no sean accesibles a un
número indeterminado de personas.

55. CONSIDERACIÓN FINAL
SOBRE ‘BIG DATA’ EN
ESTADÍSTICAS OFICIALES
http://www.avpd.eus Principios de la Protección de Datos 55

56. Garantías y excepciones del tratamiento con fines
estadísticos en el #RGPD
• Artículo 89 - Garantías y excepciones aplicables al
tratamiento con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos
– 1. El tratamiento con (…) fines estadísticos estará sujeto a las
garantías adecuadas, con arreglo al presente Reglamento, para
los derechos y las libertades de los interesados.
– Dichas garantías harán que se disponga de medidas técnicas y
organizativas, en particular para garantizar el respeto del
principio de minimización de los datos personales.
– Tales medidas podrán incluir la seudonimización, siempre que
de esa forma puedan alcanzarse dichos fines.
– Siempre que esos fines pueden alcanzarse mediante un
tratamiento ulterior que no permita o ya no permita la
identificación de los interesados, esos fines se alcanzarán de
ese modo.
http://www.avpd.eus Principios de la Protección de Datos 56

57. Garantías y excepciones del tratamiento con fines
estadísticos en el #RGPD
– 2. Cuando se traten datos personales con fines
(…) estadísticos el Derecho de la Unión o de los
Estados miembros podrá establecer
excepciones a los derechos contemplados en los
artículos 15, 16, 18 y 21 [derechos ARCO],
sujetas a las condiciones y garantías indicadas
en el apartado 1 del presente artículo, siempre
que sea probable que esos derechos
imposibiliten u obstaculicen gravemente el logro
de los fines científicos y cuanto esas
excepciones sean necesarias para alcanzar
esos fines.
– 3. (…)
http://www.avpd.eus Principios de la Protección de Datos 57

58. “Un gran poder conlleva una gran
responsabilidad”
• La legislación sobre protección de datos
contempla expresamente los tratamientos
con fines estadísticos,
– habilitando el tratamiento
– exceptuando limitaciones
• Por ello, las cautelas y motivos de
preocupación apuntados anteriormente,
– Se mitigan las “colisiones con los principios”
– Se mantienen los “riesgos de re-identificación”
http://www.avpd.eus Principios de la Protección de Datos 58

59. http://www.avpd.eus Principios de la Protección de Datos 59
http://www.flickr.com/photos/rosino/3658259716/
Presentación disponible en:
http://www.slideshare.net/paGonzalez