Seguridad de la información

Demostrar el cumplimiento de las normas de privacidad

La necesidad de demostrar el cumplimiento efectivo de las normas de privacidad es algo recurrente en el nuevo Reglamento Europeo de Protección de datos.

En muchos casos se menciona la necesidad de demostrar el cumplimiento del mismo o en otros casos de alcanzar un nivel de implementación que permita estar en condiciones de demostrar tal implementación.

Como vemos en la tabla que sigue a continuación, esto se evidencia en supuestos como los siguientes:

Artículo /Considerando Tema regulado Regla
Considerando 86 Brechas de Seguridad Se deben notificar las brechas de seguridad, a menos que el responsable “pueda demostrar  la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas.
Considerando 42 Consentimiento para el tratamiento de los datos El responsable del tratamiento debe ser capaz de demostrar que el interesado ha dado su consentimiento a la operación de tratamiento de datos
Artículo 7 Consentimiento para el tratamiento de los datos
Considerando 74 Aplicación de medidas de seguridad El responsable debe aplicar medidas de seguridad oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el   Reglamento
Artículo 24 Aplicación de medidas de seguridad El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Considerando 90 Evaluaciones de Impacto Toda entidad debe “demostrar la conformidad con el   Reglamento”.
Artículo 5 Principios relativos al tratamiento de los datos El responsable del tratamiento deberá cumplir lo dispuesto en dicho artículo y ser “capaz de demostrarlo” («responsabilidad proactiva»).

INTELIGENCIA ARTIFICIAL vs. INTELIGENCIA COLECTIVA

La progresiva implantación de sistemas de toma decisiones basados en inteligencia artificial puede alterar de forma significativa el funcionamiento de los sistemas sociales en los que se adopte.

Más allá de las consecuencias económicas que el hecho indudablemente supone, hay que tener en cuenta que en los sistemas sociales de nuestro entorno, el ejercicio del poder, entendido como el  mecanismo que condiciona los comportamientos sociales, se logra a través de la regulación. Esta regulación no presenta un carácter monolítico sino que en realidad es la conjunción de cuatro factores que constitucionalistas como LESSIG identifican como las normas jurídicas, las normas sociales, el mercado y la arquitectura, entendida esta última, como aquellos elementos físicos que condicionan las acciones humanas (una cerradura, una contraseña, etc.).

Pues bien, una sociedad dependiente de sistemas de inteligencia artificial supone primar el factor arquitectura, es decir el código software que da funcionamiento a los sistemas de inteligencia artificial, condicionando fuertemente el funcionamiento de los demás factores.

Esto supone que las normas sociales y el mercado se ponen a disposición del código informático, y que una nueva función que las normas jurídicas han de asumir es la protección de esta realidad que tenderá así a perpetuarse.

LA PRIVACIDAD COMO RIESGO LABORAL

Los aspectos tecnológicos requieren cada vez más atención a la hora de proteger los derechos de los trabajadores entre los que se encuentra sin ninguna duda el de su privacidad. Esto supone desde el punto de vista de la prevención de riesgos laborales la ampliación de factores de riesgo que pueden generar daños en la vida personal y familiar de los trabajadores con motivo de la prestación laboral.

Ciertamente las amenazas a la privacidad no se asocian fácilmente con la salud laboral, pero como veremos éstas, aunque son un riesgo autónomo e independiente, guardan una cierta conexión con otro tipo de amenazas a la libertad personal como son los casos de acoso laboral y otras prácticas nada deseables en el entorno laboral.

El artículo 4,2 de la Ley de Prevención de Riesgos Laborales define “riesgo laboral” como “la posibilidad de que un trabajador sufra un determinado daño derivado del trabajo.”

Este riesgo no necesariamente tiene que resultar físico, sino que puede ser psicológico o atentar contra un derecho fundamental del trabajador que menoscabe su integridad moral.

Aunque no toda invasión de la privacidad de los trabajadores podrá considerarse un riesgo laboral en el sentido de esta disciplina jurídica, no podemos olvidar que ese factor de riesgo evoluciona a la par que evoluciona nuestra sociedad y su entorno tecnológico. Situaciones que hace 10 o 15 años difícilmente podían generar riesgos, hoy suponen posibles amenazas que no hay que descartar.

Ya  es  sabido que los reconocimientos médicos requieren una especial atención si se desea respetar al máximo los datos de salud de los trabajadores, pero todavía hoy se mantienen en cierta forma ocultos algunos otros riesgos para la privacidad que surgen del  desempeño del trabajo en régimen de dependencia.

Una muestra de ello sería la sobreexposición de la identidad de un trabajador cuyo nombre, unas veces aparece en tarjetas de empresa, en rótulos informativos, o cuya imagen etiquetada y asociada a su trabajo aparece en sitios web corporativos,  o cuando otras veces acaba en poder de terceras empresas en virtud de los cada vez más frecuentes procesos de descentralización productiva.

BLOCKCHAIN, SMART CONTRACTS Y EL NUEVO PAPEL DE LOS OPERADORES JURÍDICOS

Los contratos inteligentes son documentos electrónicos susceptibles de ser programados y firmados electrónicamente de forma tal que son capaces,  no solamente de identificar de forma segura y fehaciente a los firmantes del mismo,  sino de ejecutar los términos económicos allí fijados automáticamente,  especialmente cuando se vinculan a transacciones dentro de plataformas descentralizadas  como las que se utilizan por Bitcoin -Blockchain-,  es decir bases de datos distribuidas que mantienen unos registros crecientes securizados contra la falsificación mediante criptografía.

Las bases de datos distribuidas se caracterizan por almacenar sus datos  en múltiples dispositivos que pueden estar situados en diferentes lugares lo que hace que sean difíciles de controlar por una sola persona al estar la información replicada y duplicada en un gran número de nodos, lo que dificulta la manipulación.

BIG DATA Y FUNCIÓN SOCIAL DE LA PRIVACIDAD

En los últimos años estamos viviendo una realidad caracterizada por el uso masivo de redes sociales y en la que una abrumadora mayoría de ciudadanos aporta información personal que afecta a las cuestiones más diversas de su vida.

Toda esa información genera un inmenso volumen de datos que es susceptible de ser analizado y precisamente la mayor capacidad de procesamiento informático disponible nos da la posibilidad, con un software específico,  de aplicar técnicas de análisis social, que unidas a la capacidad de interrelacionar todos estos datos y metadatos, permite generar conocimiento e incluso realizar auténticas predicciones que van mucho más allá de las que ya se usaban para cuestiones como la meteorología y que, acertadamente utilizadas,  pueden servir para erradicar enfermedades o salvar vidas.

Una de las aplicaciones más extendidas es Apache Hadoop  que soporta aplicaciones distribuidas bajo una licencia libre,  y aunque los mayores fabricantes de software (IBM, Oracle, etc.) cuentan con sus propias aplicaciones,  Hadoop está siendo construido y usado por una comunidad global de contribuyentes,  mediante el lenguaje de programación Java,  tal como puede verse en la voz “Hadoop” y que podemos consultar en Wikipedia.

Los mayores volúmenes de información tienen escaso valor si no se puede extraer de ellos  información relevante en tiempo real para tomar decisiones documentadas, o iniciar acciones y modificar resultados. La mayoría de las organizaciones no pueden aprovechar esa información porque la mayor parte de sus datos se componen de formatos no estructurados, como texto o imágenes, haciéndolos inaccesibles para las tecnologías convencionales.

Es por ello que se está generando una auténtica industria alrededor de este fenómeno conocido ya por todos como “Big Data”, el cual por otra parte puede condicionar nuestra  propia libertad si se utilizan indebidamente o en favor de solo unos pocos, o lo que es mucho peor, si queda en manos de solo unos pocos.

Una de las cuestiones que está alcanzando una mayor relevancia es la evolución del concepto de privacidad.

Se trata de un concepto que ha venido variando a lo largo del tiempo. La propia voz “privacidad” no figuraba en nuestro Diccionario de la Real Academia de la Lengua Española hasta hace no demasiados años, y el avance de las TIC puede configurar un nuevo concepto de privacidad que deriva directamente del concepto de dimensión digital del ser humano que ya hemos definido en ocasiones anteriores.