«Retos legales de todo proyecto de Big Data – Privacidad: adecuación a finalidad y legítimo interés», artículo de Carlos Pérez, Socio de IT de ECIJA, para Big Data Week.
Durante la Big Data Week de este año 2015, que se celebrará en Barcelona y Madrid la última Semana de noviembre, está prevista una sesión sobre retos, necesidades y amenazas de los proyectos “big data” en el transcurso de la conferencia principal.
Debo agradecer a SYNERGIC PARTNERS, organizadora del evento, haber tenido la amabilidad de invitarme para aportar mi visión sobre tales retos, necesidades y amenazas, desde un punto de vista jurídico.
En este primer artículo, apuntaré de manera resumida las cuestiones que abordaré en la primera parte de mi intervención, consistente en explicar la visión de las autoridades en materia de protección de datos de la Unión Europea sobre límites jurídicos aplicables a proyectos de “big data” y “data science”.
El Grupo de Trabajo del Artículo 29, en sus informes relativos a “adecuación a la finalidad” y a “legítimo interés”, indica que dichos conceptos son claves a la hora de interpretar y analizar si un determinado proyecto de “big data” se ajusta o no a los preceptos de la normativa de privacidad. A tal efecto, destaca un conjunto de reflexiones y puntos de análisis fundamentales que, desde un punto de vista jurídico, deben aplicarse a todo proyecto “big data”:
– Correlación entre las finalidades de tratamiento inicialmente informadas al interesado y las finalidades ulteriores de tratamiento perseguidas por el proyecto;
– Correspondencia entre el contexto de obtención de los datos del interesado, en relación con las expectativas que el mismo interesado puede albergar respecto al uso futuro de sus datos en base al contexto en que han sido recabados;
– Impacto de los usos ulteriores de los datos personales del interesado en función el tipo de datos recabado;
– Salvaguardas adoptadas por el responsable de tratamiento, promotor del proyecto “big data”, para evitar tratamientos ulteriores no lícitos;
La aplicación práctica de las anteriores reflexiones a proyectos “big data” se traduce, en resumen, en realizar una doble comprobación sobre dos aspectos esenciales: análisis de la debida especificación de finalidades informadas al interesados, por un lado, y análisis de la compatibilidad de dichas finalidades con el ulterior tratamiento de datos personales previsto en el proyecto “big data”, por otro.
Para superar con éxito el análisis de primera aspecto (especificación de finalidades), debe responderse de manera positiva a las siguientes cuestiones concretas sobre las finalidades de tratamiento inicialmente informadas al interesado:
– Son específicas, es decir, suficientemente definidas para asegurar la salvaguarda de los derechos del interesado y delimitar ámbito del tratamiento de datos previsto para el proyecto “big data”
– Son explicitas, es decir, expresadas con claridad y sin ambigüedad; y
– Son legítimas, es decir, son conformes a los principios normativos y a las funciones legitimas del responsable del tratamiento que promueve el proyecto “big data”.
En cuanto al análisis del segundo aspecto (compatibilidad ulterior), su superación con éxito está condicionado a que los tratamientos de datos previstos para el proyecto “big data” reúnan los siguientes requisitos:
– Transparencia: hacia interesado, hacia los stakeholders del responsable del tratamiento que promueve el proyecto “big data” y para las autoridades de control competentes en materia de protección de datos personales;
– Previsibilidad, entendida como la posibilidad usuario predecir posibles usos futuros vinculados al proyecto “big data”; y
– Control por el interesado, asegurando en todo momento el ejercicio de derechos de forma efectiva
Caso de no superar con éxito el doble análisis de especificación de finalidades y compatibilidad ulterior, cualquier proyecto “big data” que esté basado o involucre datos de carácter personal deberá proceder a su previa disociación, con el fin de que el tratamiento de información vinculado al proyecto en cuestión no afecte ni lesione la privacidad de los interesados cuyos datos puedan verse involucrados.
Como veremos en el siguiente artículo, las autoridades de la Unión Europea en materia de protección de datos también se han pronunciado sobre las técnicas de disociación aplicables a proyectos de todo tipo, sean o no de “big data”, analizando su mayor o menor seguridad en cuanto a una efectiva desvinculación de la información objeto de tratamiento respecto de la identidad de la persona física interesada a la cual dichos datos corresponden.
Para acceder al artículo en versión digital, click aquí
Para acceder al artículo en versión PDF, click aquí