Big Data: cómo minimizar los riesgos legales del análisis de datos

En la actualidad, cada vez más empresas analizan y extraen información relevante de los datos que poseen o a los que acceden para poder predecir los comportamientos de sus clientes o potenciales clientes y poder ofrecerles productos y servicios más ajustados a sus perfiles.

Sin embargo, todo tratamiento de información proveniente de Internet o de la nube, debería tener en cuenta y cumplir con una serie de normas, entre ellas, una muy importante: la normativa de protección de datos que en España se recoge en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) y que afectaría a la información asociada a personas físicas.

El incumplimiento de esta normativa entraña una serie de riesgos legales que podrían mermar la rentabilidad obtenida gracias a la analítica de datos. Por un lado, la empresa perdería reputación y credibilidad ante sus clientes o usuarios. Y por otro, no cumplir con la ley podría implicar sanciones desde 900€ hasta 600.000€ para las faltas muy graves. En España, esta autoridad para empresas privadas o ficheros de titularidad privada sería la Agencia Española de Protección de Datos.

En este post queremos hablar de qué se debe tener en cuenta para minimizar al máximo posible estos riesgos legales.

Riesgos para la privacidad del usuario.

Si queremos realizar un análisis de datos que nos permita identificar a personas físicas, debemos asegurarnos de que disponemos de su autorización. Por ejemplo, si nos dedicamos a extraer información de redes sociales asociada a personas físicas, al analizarla estaremos efectuando un tratamiento de datos.

En virtud de la normativa de protección de datos, es necesario que informemos al usuario de que estamos tratando sus datos y le indiquemos para qué finalidad, para que pueda darnos su conformidad.

El hecho de tener acceso a una red social como usuarios no nos legitima para que podamos hacer lo que queramos con la información a la que tenemos acceso. Ésta pertenece a los usuarios, que tienen derecho a su intimidad, y que dieron su consentimiento a que dicha red social utilizase su información, pero no para que otros lo hicieran sin advertirle.

De este modo, o bien disponemos del consentimiento del usuario afectado o bien disponemos de un acuerdo con la empresa titular de la plataforma de la que queramos analizar datos, conforme utilizaremos esa información según lo acordado y siempre velando por la privacidad del usuario, efectuando tratamientos o procesamientos de datos adecuados y pertinentes. Lo contrario infringe la ley y puede conllevar la imposición de sanciones, como comentábamos al inicio de este post. 

Así, si queremos trabajar con redes sociales y nos preocupa especialmente la seguridad o privacidad de los usuarios, lo conveniente será que revisemos cuáles son sus términos de uso y condiciones y que firmemos con aquellas un acuerdo de colaboración o similar en el que queden claros todos estos aspectos. De este modo podremos revisar cuál es su nivel de cumplimiento de la normativa antes de la firma.

Otra situación que puede producirse es que no seamos nosotros quienes efectuemos la extracción de datos, sino que sea una empresa externa a quien nosotros le hayamos contratado dicho servicio. En este caso, si la empresa contratada accede a datos identificativos de personas físicas, se convertirá en lo que la ley de protección de datos denomina encargado de tratamiento.

En su virtud, deberá firmarse un contrato en el que le indicaremos detenidamente los ficheros de datos que estará autorizado a tratar y las medidas de seguridad que se compromete a cumplir para efectuar dicho tratamiento de un modo correcto.

Si en lugar de contratar dichos servicios de extracción somos nosotros quienes lo ofrecemos a nuestros clientes, seremos los encargados del tratamiento de datos y por tanto deberemos cumplir con las medidas de seguridad del cliente.

A diferencia de lo anterior, si lo que queremos es analizar información disociada procedente de diferentes fuentes, esto es, extraer información útil para nuestra empresa a efectos de estadística o preferencias sin identificar a personas físicas, también deberemos analizar si ello está permitido o no, de acuerdo con las pautas indicadas a continuación.

Infracciones de derechos

Como comentábamos, la información que existe en la red no sólo afecta a derechos relacionados con la privacidad, sino que también hay información de usuarios o empresas que tienen derecho a proteger sus contenidos y regular el uso de los mismos, derecho a la protección de marca, derecho a la imagen, o incluso derechos de autor.

Estos derechos están protegidos por otras normativas que pueden solaparse en algunas ocasiones con la LOPD-GDD. Si, por ejemplo, tratamos una imagen sin el consentimiento de alguien, podemos estar infringiendo tanto la normativa de protección de datos como la ley del derecho al honor y la imagen.

Otras leyes de aplicación al tratamiento de la información proveniente de la nube o de internet:

• Ley 1/1982, de 5 de mayo, sobre protección civil del Derecho al Honor, la Intimidad Personal y Familiar y a la propia Imagen. Esta ley se debería tener en cuenta cuando se van a recoger o utilizar imágenes de personas.
• Ley de Propiedad Intelectual, aprobada por el Real Decreto Legislativo 1/1996, de 12 de abril, si lo que hacemos es recoger o utilizar contenidos de Internet.
• Ley 17/2001, de 7 de diciembre, de Marcas, si pretendemos utilizar algunas marcas en nuestros contenidos o en la presentación de nuestros servicios.

Si nos dedicamos a extraer informaciones o contenidos de otras páginas web sin revisar si aquellos contenidos son libres de derechos o están protegidos por derechos de autor, podemos estar infringiendo la ley de propiedad intelectual.

O si, por ejemplo, empezamos a utilizar las marcas de potenciales clientes o las extraemos de Internet para hacer un volcado de ellas en una base de datos propia, podemos estar infringiendo el derecho de exclusiva a la utilización de la marca por parte de su titular; o incluso incurrir en un daño a su reputación o imagen, si considera que de algún modo le causamos algún daño o perjuicio con el uso que le dimos sin su autorización.

Otro tipo de infracción posible es la extracción de información de páginas mediante la técnica del scrapping – que utiliza software para simular la navegación de un humano en la red – que no está permitido por muchas páginas web en sus términos y condiciones.

También la utilización de técnicas como la araña web o bots, esto es, un programa que inspecciona páginas de internet de forma metódica y automatizada para, por ejemplo, crear una copia de las visitadas y efectuar un procesado posterior mediante un motor de búsqueda que lo que hace es indexar las páginas y proporcionar un sistema de búsquedas rápido.

Muchos de estos usos no están permitidos por los términos de uso de muchas páginas web y redes sociales. Por ejemplo, LinkedIn no permite el uso de sus bases de datos de usuarios utilizando algunos de estos sistemas y los prohíbe expresamente en sus términos. Por lo tanto, hay que ir con cuidado con las fuentes de nuestra información y debemos comprobar si aquellas disponen de términos de uso y qué indican al respecto.

Otras páginas están sujetas a derechos de autor o licencias determinadas. Si se extrajeran y trataran datos de las mismas sin tenerlo en cuenta, se podría incurrir en infracción de derechos, en este caso, de la normativa de propiedad intelectual.

Así pues, todas estas acciones, ignorando los términos y condiciones, podrían suponer una infracción de las normativas citadas y, además, la reclamación por daños y perjuicios, entre otros, de sus titulares de derechos.

Riesgos de seguridad informática

Otra situación que puede producirse con la utilización de los datos es el riesgo derivado de utilizar información que no sabemos si ha sido previamente hackeada o si reúne unas condiciones de fiabilidad y seguridad mínimas. Por ejemplo, si extraemos datos a gran escala y de diferentes fuentes:

• ¿Cómo sabemos que en toda la información no existe algún dato erróneo?
• ¿Cómo sabemos si lo que extraemos es resultado de algo totalmente verídico o acorde con lo que necesitamos?
• ¿Cómo sabemos si todos los sitios web o bases de datos de dónde se ha obtenido la información se obtiene información lo más clara y objetiva posible?

Por ello será necesario investigar las fuentes de las que obtenemos esa información y revisar sus avisos legales o términos y condiciones, sus procedimientos y sus medidas de seguridad.

Si contratamos a un proveedor externo para que nos ayude con esta extracción de datos, debemos pedirle experiencia y acreditaciones que garanticen que son una empresa segura y fiable.

Supongamos que hemos recabado información de una página que fue hackeada y en la que apareció información falsa debido a ese ataque. En este caso, los resultados que hayamos obtenido de la extracción de datos realizada no serán del todo ciertos.

Está claro que el análisis de datos es una práctica que permite el avance tecnológico, social, económico o financiero, en cualquier negocio y sector. Pero a la vez conlleva una serie de riesgos. En este post hemos querido destacar las medidas de precaución que deben considerarse para que la extracción y análisis de datos se lleve a cabo con todas las garantías legales posibles.

Esta entrada fue publicada originalmente el 29/12/2015

Posts relacionados

• ¿Qué es y qué evidencias electrónicas recoge el documento probatorio?
• ¿Qué es la autenticación biométrica y cómo se combina con la solución de firma electrónica avanzada de Signaturit?
• La validez jurídica de un contrato firmado electrónicamente con firma electrónica avanzada.