febrero 2018 | ECIJA : ECIJA

«La aplicación de la protección de datos a los algoritmos predictivos», artículo de Francisco J. Cantueso, abogado de ECIJA, para The Law Clinic.

El diseño y utilización de algoritmos predictivos es una realidad presente hoy en día más que nunca, teniendo como base para su funcionamiento el uso de una gran cantidad de datos. Sus finalidades pueden ir desde la predicción de muertes repentinas por episodios cardiorrespiratorios, hasta combatir el crimen a través de la asignación de puntuación a diversas actividades delictivas determinando la predisposición a la comisión de futuros delitos. Este escenario nos obliga a plantearnos como encajan este tipo de actividades con la actual normativa de protección de datos.

Los algoritmos predictivos podemos conceptualizarlos como una técnica estadística que, por medio de la modelización, aprendizaje automático y minería de datos, permiten identificar tanto posibles riesgos como oportunidades, siendo la base de su uso el manejo de datos masivos, tanto históricos como transaccionales.

Estos algoritmos, a día de hoy pueden tener múltiples funcionalidades, llegando a predecir una muerte repentina por episodios cardiorrespiratorios, como ya hemos indicado. Nos estamos refiriendo a un software de la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés), que a través de un algoritmo analiza los datos de pacientes recogidos en hospitales, calculando el riesgo de que estos padezcan un ataque al corazón o un fallo respiratorio. Este algoritmo fue desarrollado utilizando la información sanitaria de miles de pacientes, pudiendo detectar cualquiera de esos episodios con una antelación de hasta seis horas antes de que ocurran, emitiendo una alerta a profesionales sanitarios para que pudieran prevenirlos.

Con esto podemos ver que los datos masivos son una gran fuente de innovación y de gran valor económico. Su uso puede tener una multitud de aplicaciones, no sólo en el ámbito que hemos indicado, sino también en la seguridad nacional, en la prevención de catástrofes naturales, persecuciones de fraude fiscal, etc.

No obstante, este uso de nuevas tecnologías puede a su vez tener importantes riesgos para la privacidad, tanto por el hecho de ser necesario para su funcionamiento una gran cantidad de datos, como para los ciudadanos que son valorados por medio de los mismos. Esta actividad hace necesario tener presente que este tipo de adelantos pueden implicar grandes riesgos en los tratamientos basados en predicciones, máxime si son usados de forma discriminatoria o para tomar decisiones excluyentes de derechos por medio de sus resultados a la población que se analiza.

La puesta en práctica de un algoritmo predictivo, si supone el tratamiento de datos personales, requiere la aplicación de la normativa de protección de datos, y más concretamente las nuevas obligaciones nacidas del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.

Entre las acciones a tener en cuenta por parte de los responsables de estos métodos predictivos, sin duda la más importante, es tener presente el concepto de Privacy By design en el diseño de los mismos. La traducción de esta obligación, no es otra que la elaboración, con carácter previo al tratamiento de datos, de una política de protección de datos que deberá ser vinculante y aplicable. Esta política deberá recoger algunos aspectos tales como:

Restricción de los tratamientos de datos personales a las finalidades que hayan sido informadas, y en su caso, consentidas por el titular de los datos, así como la elaboración de cláusulas de consentimiento informado para el interesado titular de los datos, recogiendo estas finalidades de manera transparente, expresa, precisa e inequívocas, tal y como es la elaboración de perfiles y modelos predictivos basados en la información del interesado, sus hábitos y preferencias, así como, su uso futuro, y cuáles serán las consecuencias que acarreará la creación de perfiles.

La Realización de Evaluaciones de Impacto (EIDP o PIA, por sus siglas en inglés). Se trata, básicamente, en un análisis de riesgos para detectar aquellos que puede entrañar el citado algoritmo para las personas cuyos datos trata y/o se aplique.

Sobre las EIPD, el Reglamento, en su artículo 35.3.), establece como necesaria su realización siempre que se lleve a cabo la elaboración de perfiles, en especial si sobre el resultado del tratamiento se basan decisiones que produzcan efectos jurídicos sobre el individuo, o pueden afectarle de manera significativa. El resultado de este documento, no es otro que el establecimiento de una serie de garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y se pueda demostrar la conformidad con el Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Disponer de un protocolo de derechos que debería incluir el conjunto total de los derechos que marca el Reglamento, tanto los ya conocidos como de acceso, rectificación, cancelación u oposición al tratamiento, así como limitación y portabilidad, junto con el derecho de revocación del consentimiento. En este último caso, es recomendable la creación de controles tanto organizativos como técnicos para hacerlo efectivo.

Regularización de contratos de acceso a datos por parte de terceros, en los casos en los que, para el desarrollo del propio algoritmo predictivo, es precio la participación de entidades externos o prestadores de servicios, siguiendo en este caso los nuevos requisitos que se recogen en el Reglamento.

Realización de auditorías externas y/o internas de su cumplimiento, con una periodicidad suficiente que deberá ser determinada por parte del responsable.

Es indudable que el avance de las nuevas tecnologías es algo imparable, y sus usos pueden ser realmente beneficiosos para la sociedad siempre y cuando prevalezca el respeto a la normativa, asegurándose los derechos y libertades de las personas. En el caso concreto de los algoritmos predictivos, esto pasa por cumplir con la nueva normativa de protección de datos.

¿Debería preocupar el caso Uber a otras aplicaciones?, artículo de María Manso, abogada de ECIJA, para The Law Clinic.

La disputa entre la Asociación Profesional Élite Taxi de Barcelona y Uber, también llamado “caso Uber”, llegó a su fin en el momento en que el Tribunal de Justicia de la Unión Europea, el pasado 20 de diciembre, falló que presta un “servicio en el ámbito de los transportes” y, por tanto, le resulta de aplicación la regulación del sector de cada estado miembro de la Unión Europea.

El motivo principal por el cual el citado Tribunal llega a esta conclusión es que, además de conectar a los clientes con los prestadores, “el prestador de este servicio de intermediación crea al mismo tiempo una oferta de servicios de transporte urbano” según se indica en los fundamentos jurídicos de la sentencia.

La intención de la sentencia era la clasificación de la plataforma como un prestador de un servicio de la sociedad de la información o de un servicio de transporte, así como la determinación y aclaración definitiva de la regulación que le fuese aplicable a la misma. En este sentido, Uber se cataloga a sí mismo como un mero intermediario entre los usuarios y los prestadores de servicio y, de este modo, al ser un servicio propio de la sociedad de la información, beneficiándose del principio de libre prestación de servicios dentro de la Unión Europea recogido en el artículo 56 del Tratado de Funcionamiento de la Unión Europea, es aplicable, en todo caso, la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior además de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior, no teniendo como deber el cumplimiento de los requisitos legales derivados de la regulación propia del sector. En cambio, si se considerase una prestación de servicio, en este caso, de transporte, le sería aplicable la regulación sectorial de cada país europeo.

A fin de llegar a una conclusión, el Tribunal de Justicia de la Unión Europea utilizó una serie de criterios con objeto de ponderar el grado de influencia de Uber en la prestación del servicio de transporte y, así, definir si nos encontramos ante un mero servicio de la sociedad de la información o si, en realidad, Uber presta un servicio de transporte.

Entre los criterios tenidos en cuenta por el Tribunal de Justicia de la Unión Europea se encuentra el nivel de poder de decisión que ostenta la plataforma tecnológica tanto en la fijación de los precios, así como en los medios utilizados para la prestación de los servicios.

Aunque la sentencia establece criterios que nos permitirían determinar si otras plataformas tecnológicas realizan una oferta de servicios de los sectores a los que, específicamente, se dediquen las mismas o si, en realidad, prestan servicios propios y que vendrían obligadas por la normativa de la sociedad de la información, actuando en este caso como meros intermediarios, es necesario que se realice un análisis concreto de la casuística de cada una de las aplicaciones que dan soportes a estos prestadores.

Sin duda, uno de los puntos más importantes a tener en cuenta a raíz de este fallo es que supone una primera interpretación en el ámbito geográfico europeo acerca de la denominada “economía colaborativa”, que puede dar pistas al resto de aplicaciones tecnológicas de los criterios a utilizar por parte de los tribunales para determinar su implicación en la prestación del servicio último en el propio sector, así como su categorización jurídica. En este sentido, esta sentencia tiene únicamente efectos declarativos al resolver una cuestión prejudicial, por lo que corresponderá al Juzgado de lo Mercantil nº 3 de Barcelona, juzgado que remitió la cuestión, la ejecución de la misma.

En definitiva, aun no teniendo la sentencia del Tribunal de Justicia de la Unión Europea un carácter “erga omnes”, estos criterios de ponderación puede que marquen una línea a la hora de calificar jurídicamente estas economías colaborativas en el ámbito territorial de la Unión Europea. Aunque las plataformas tecnológicas sigan insistiendo en su esencia como servicios de la sociedad de la información, es clara la afectación del caso Uber en otras aplicaciones del sector del transporte que puede que sigan el mismo modelo de negocio, como puede ser el caso de Cabify. Aun diciendo esto, como se ha indicado anteriormente, se deberá realizar un análisis de la casuística de cada una de estas plataformas tecnológicas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Mes: febrero 2018

La aplicación de la protección de datos a los algoritmos predictivos.

¿Debería preocupar el caso Uber a otras aplicaciones?