Publicado en LegalToday, 30 de junio de 2015.
Recientemente diferentes medios publicaban la noticia de que la red social “Facebook” había comenzado a probar un sistema capaz de reconocer a las personas en las fotos, incluso si no están mirando a la cámara. Mediante este algoritmo la red social podría identificar a los usuarios en función de una serie de características y detalles almacenados previamente tras la recopilación de fotos publicadas anteriormente. El sistema permitiría identificar los peinados, la ropa, las posturas, así como las formas del cuerpo, pudiendo alcanzar un 83% de precisión.
Teniendo en cuenta que tanto nuestra Ley Orgánica 15/1999 de protección de datos (en adelante, «LOPD») define en su artículo 3.a, dato personal como «cualquier información concerniente a personas físicas identificadas o identificables», como el artículo 2.a de la Directiva 95/46/CE lo define como «toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social», surgen una serie una serie de interrogantes.
En primer lugar, ¿debe entenderse que la imagen de las personas que no están mirando a la cámara debería considerarse como un dato de carácter personal? Debemos tener en cuenta que esta cuestión no es baladí y redefiniría prácticas actuales como el oscurecimiento de una fotografía, o la aparición de alguien de espaldas.
A mayor abundamiento, si la citada red social finalmente implementara este tipo de tecnología, la identificación de las personas estaría a disposición de cualquier usuario, quizás mediante un sistema de recomendaciones a la hora de etiquetar a un contacto en una fotografía, lo que extendería esta nueva categoría de dato, no sólo a las empresas tecnológicas si no a cualquier ciudadano.
Debe por tanto redefinirse el concepto de dato personal, incorporando nuevas categorías, tal y como se hizo en otros momentos incluyendo en los formularios Nota de la Agencia Española de Protección de Datos los conceptos de «dato biométrico» o «firma electrónica».
Sentado lo anterior, debe considerarse que la realización de tratamientos big data en el seno de las empresas, implica que el tratamiento masivo de datos y el cruce de los mismos, dificulta la anonimización efectiva de los mismos. Su combinación al provenir de diferentes fuentes, puede conllevar la reidentificación de las personas.
El avance de la tecnología pone de manifiesto una tercera reflexión, ¿el concepto de dato personal debe tratarse de una forma global? Es decir, bajo una misma definición o categorías exigibles a cualquier responsable del fichero, o ¿debe considerarse que una determinada información puede constituir un dato personal dependiendo de quien realice el tratamiento de la información? Así las cosas, una información puede implicar que una determinada empresa pueda identificar a una persona mediante el empleo de la tecnología que utiliza, mientras el resto de las personas no podrían saber a quién se está haciendo referencia o identificar al sujeto. Un aspecto en el que los citados tratamientos masivos de datos juegan un papel fundamental.
Semejantes cuestiones se plantean a la hora de definir el nivel de seguridad aplicable a los datos personales, si bien nuestra normativa establece tres niveles (básico, medio y alto), debe considerarse que una determinada información meramente identificativa (nivel básico) puede implicar un impacto mayor en la perspectiva de privacidad del usuario o en su derecho al honor, intimidad o propia imagen, entre otras cuestiones. Por ello, debe tenerse en cuenta que junto con el nivel legalmente establecido ha de tenerse en cuenta un nivel social de protección de datos que debería ser tenido en cuenta a la hora de desarrollar tratamientos de datos.
En todos los casos se pone de manifiesto la necesidad de adoptar modelos de protección de datos que hagan confluir cumplimiento normativo y desarrollo tecnológico, dos ámbitos que deben escribirse en el mismo lenguaje,permitiendo el tratamiento y explotación de los datos con garantías suficientes para las personas sobre sus datos en un sistema que garantice la seguridad jurídica y la protección reconocida por nuestra Constitución.
En este punto, la elaboración de evaluaciones de impacto, o el desarrollo de los productos, campañas o soluciones tecnológicas desde el respeto a la privacidad, la implantación de procedimientos internos respecto al tratamiento de los datos, garantizan, junto al cumplimiento normativo, el respeto de un derecho considerado fundamental de las personas.
El derecho debe seguir avanzando: la innovación jurídica, la utilización de los instrumentos que el ordenamiento pone a nuestra disposición, junto con la creatividad a la hora de dar soluciones a los nuevos retos que se plantean son factores clave en una correcta protección de los datos de las personas, la generación de confianza, la minimización de riesgos… hoy y mañana.