Isabel Marroquín Fernández es abogada recientemente jubilada. Ha sido Secretaria Territorial y Jefa de los Servicios Jurídicos de Telefónica de España S.A.U. en Levante. Ella nos ha proporcionado una visión jurídica del Big Data, ayudándonos a comprender un poco mejor la regulación legal.
P: ¿Puede explicarnos la importancia de la nueva ley de protección de datos y garantías digitales? ¿Cómo influirá esta ley en el tema del Big Data?
R: Considero su importancia capital e imprescindible: debemos tener en cuenta que la protección de las personas en relación al tratamiento de los datos personales es un DERECHO FUNDAMENTAL, que está protegido en el artículo 18.4 de nuestra Constitución. La Ley que teníamos, que desarrollaba este derecho, era muy antigua, en concreto del año 1999 y no regulaba muchos escenarios que se han ido produciendo con los avances tecnológicos. La nueva Ley era necesaria para adaptar el Reglamento General de Protección de Datos de 25 de mayo de 2018 a la legislación española, modernizar la regulación y proporcionar mayor seguridad jurídica.
En cuanto a la segunda parte de la pregunta, la nueva Ley da mayor control a las personas sobre sus datos y como lógica consecuencia, limitará el uso del Big Data, por ejemplo, para fines comerciales. Las empresas tienen que adaptarse a la nueva regulación, pedir los consentimientos necesarios y, en definitiva, cumplir la Ley o arriesgarse a multas considerables.
P: ¿Cuáles son estas garantías digitales de las que la ley presume?
R: Las garantías de los derechos digitales están reguladas en el Título X, a partir del artículo 79, y sin ánimo de extenderme demasiado y señalando las más importantes, os detallo unas cuantas:
Se reconoce el derecho de acceso a internet, que debe ser universal, asequible, de calidad y no discriminatorio.
El derecho a la seguridad digital en las comunicaciones que se realizan a través de internet y que enlaza con el derecho a la privacidad de las comunicaciones digitales.
El derecho de rectificación y el derecho al olvido, para poder rectificar información, por ejemplo, en redes sociales, y poder eliminar información a solicitud de la persona interesada.
Existen otros muchos derechos, como la protección de los menores en internet o la desconexión digital en el ámbito laboral, pero no quiero extenderme demasiado porque todos ellos están en la ley.
P: Sabemos que usted fue jefede los Servicios Jurídicos de Telefónica en la Comunidad Valenciana, ¿Ofrece esta empresa servicios de Big Data? ¿A qué tipo de empresas van dirigidos estos servicios?
R: Si, lógicamente, como es público y notorio, y aparece en su propia página web, Telefónica ofrece servicios de Big Data y se ofrecen a todas las empresas que quieran sacar el máximo partido a los datos, para mejorar la eficacia de su organización y prestar un mejor servicio a sus clientes, ajustando las ofertas a las necesidades y servicios reales; actualmente cualquier tipo de empresa podría beneficiarse del Big Data.
P: ¿Qué recursos se emplean en Telefónica para respetar la privacidad de los datos de sus clientes?
R: Como Vd. ha indicado, en estos momentos no soy responsable de los Servicios Jurídicos en esta Comunidad, pero por la información que tengo, todas las soluciones de Big Data de Telefónica han sido presentadas a la Agencia de Protección de Datos, y se trabaja con identificadores encriptados y con un módulo de anonimización: todos los datos que se entregan a los clientes son extrapolados de un conjunto.
P: ¿Cuál es la diferencia entre la anonimización y seudonimización de los datos?
R: La anonimización, tal y como es entendida por la Agencia Española de Protección de Datos, es la ruptura de la cadena de identificación de las personas. Los datos personales que se tratan no se pueden asociar de ninguna forma a la persona titular de los mismos, por poner un ejemplo, número de personas en una franja de edad, nombres de personas sin DNI, apellidos, etc.
La seudonimización consiste en tratar los datos personales sin los datos identificativos de la persona, pero sin suprimir la vinculación entre los datos que consigan determinar la persona titular de los mismos, con un ejemplo se entiende mejor, sustituir los nombres de un cliente por un código o un identificador numérico, es decir, cambiar los datos personales por seudónimos.
La diferencia fundamental es que en la anonimización se disocian totalmente los datos personales, y es algo irreversible, sin embargo, en la seudonimización se desvinculan los datos identificativos, pero se mantienen datos adicionales que pueden reidentificar a las personas, por lo tanto, es un procedimiento reversible. Resumiendo, en el procedimiento de seudonimización siempre debe aplicarse la Ley de Protección de Datos a diferencia del supuesto de anonimización.
«Toda persona tiene derecho a exigir que se corrijan, parte o todos sus datos, en caso de que sean erróneos o le causen perjuicios»
P: ¿Qué es el habeas data? ¿Qué importancia tiene?
R: Es el recurso legal que tiene cualquier persona para acceder a un banco de información o registro de datos que incluye referencias sobre uno mismo. Toda persona tiene derecho a exigir que se corrijan, parte o todos sus datos, en caso de que sean erróneos o le causen perjuicios.
Etimológicamente sería algo así como “tener datos” y deviene del traslado al mundo digital de una figura jurídica muy consolidada como es el habeas corpus, ”tener el cuerpo”, esto es, que toda persona tiene derecho a la libertad y a un procedimiento para conseguir la inmediata puesta a disposición judicial, si es detenida ilegalmente.
En el ámbito que nos interesa, podría explicarse como la garantía de que nadie tenga secuestrados nuestros datos, sin posibilidad alguna de acceder a los mismos.
P: Actualmente casi todos los niños hacen uso de herramientas digitales, pero, ¿A qué edad puede una persona prestar consentimiento para que puedan utilizar sus datos?
R: Está regulado en el artículo 7 de la Ley 3/2018 de 5 de diciembre de la que venimos hablando, y en esencia dice que se exige que como mínimo, el menor sea mayor de 14 años, pero no sirve para los negocios jurídicos en los que el menor necesite la asistencia de los titulares de la patria potestad.
«El consentimiento tiene que ser explícito y prestarse para cada tratamiento»
P: ¿Cómo se tiene que prestar consentimiento para la utilización de nuestros datos? ¿Tiene que ser por escrito, explícito…?
R: Está regulado en el artículo 6 de la Ley, y se entiende por consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca, por la que la persona acepta, ya sea mediante una declaración o una aclaración afirmativa, el tratamiento de los datos personales que le afectan. Si se pretende el tratamiento de los datos para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que se presta el consentimiento para todas ellas. Resumiendo, el consentimiento tiene que ser explícito y prestarse para cada tratamiento.
P: ¿Existe algún organismo que controle o al que denunciar los usos indebidos de datos?
R: La ley regula en el Título VII diversas autoridades para la protección de datos, la más importante es la Agencia Española de Protección de Datos. El artículo 44 especifica que es una autoridad administrativa, independiente, estatal que se relaciona con el gobierno a través del Ministerio de Justicia y que será el representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos. Si leéis la Ley veréis que aparece en casi todos los Títulos de la misma con variadas funciones.
También se regulan autoridades Autonómicas de Protección de Datos con unas competencias muy específicas en relación con las Comunidades Autónomas.
Big Little Data 