Logo de la Universdad de Valencia Logo Cátedra de privacidad y transformación digital Microsoft-UV Logo del portal

Ricard Martínez: “La sociedad necesita conocer mejor su privacidad”

  • Unidad de Cultura Científica y de la Innovación
  • 28 abril de 2021
Ricard Martínez

El director de la Cátedra Microsoft de privacidad y Transformación Digital, Ricard Martínez, habla sobre el valor y la importancia de los datos de los usuarios de Internet, además de otros temas de actualidad como el reglamento jurídico para Internet o aplicaciones de rastreo COVID.

Ricard Martínez es Doctor en Derecho y ha centrado su estudio en el derecho fundamental a la protección de datos y a cuestiones sobre las tecnologías de la información. Ha colaborado con multitud de entidades como la Agencia Española de Protección de Datos o la Conferencia de Rectores de las Universidades Españolas (CRUE-TIC). Actualmente además del de la CRUE-TIC, coordina también el Grupo de Trabajo sobre Derechos Digitales de los Ciudadanos del Ministerio de Energía, Turismo y Agenda Digital. Ha colaborado también con distintas universidades como profesor y como Delegado de Protección de Datos en la Universitat de València. Actualmente trabaja como profesor para esta en el departamento de Derecho Constitucional, Ciencia Política y de la Administración, además de ser el director de la Cátedra de Privacidad y Transformación Digital Microsoft. Cuenta con numerosas publicaciones, tanto libros como artículos, en los que profundiza más en estos temas.

 

Lo primero y para entrar en materia ¿qué es este concepto del Big Data y por qué ha cobrado tanta relevancia en los últimos años?

 Los datos, como el petróleo, han estado siempre ahí. Hace 3.000 años ya existían yacimientos de petróleo que la gente usaba para abrillantar los barcos, ahora, ese mismo petróleo lo usamos de combustible. Con los datos ha ocurrido lo mismo. La llegada y aparición de Internet ha supuesto un enorme cambio en la capacidad de computación que tenemos. Ahora tratamos con un volumen de datos y una velocidad para interpretarlos muy superior, gracias a tecnologías como el Cloud Computing o el Machine Learning. Las máquinas y los programas informáticos como estos han permitido un tratamiento de los datos por encima de las capacidades humanas. Los datos pueden ser estudiados y comparados sin necesidad de complejas tablas o estructuras para el entendimiento de la mente humana.

Esto ha permitido que se puedan llevar a cabo análisis mucho más masivos. Gracias a este nuevo tratamiento, se pueden observar las tendencias y las condiciones de una población, sobre temas sanitarios, sociales, etc., y llevar a cabo medidas preventivas.

 

"Las máquinas y los programas informáticos como estos han permitido un tratamiento de los datos por encima de las capacidades humanas"

 

Hace poco escuché que el valor de los datos ha superado al mencionado petróleo, ¿cómo se puede explicar esto?

 El valor de estos datos se ve justificado en su eficacia publicitaria. El método tradicional de propaganda se basa en un modelo con previsiones hipotéticas (un anuncio de juguetes tendrá más éxito en una cadena infantil, por ejemplo) mientras que, gracias al análisis de datos y al desarrollo de la tecnología, la publicidad en Internet se basa en la aplicación de la neurociencia.

La efectividad de esa publicidad es mucho mayor a la tradicional. Las emociones juegan un papel vital a la hora de posicionar los anuncios. En Internet sabes qué anuncio poner en cada momento para que tenga el máximo éxito posible. Por ejemplo, anunciar un restaurante por los medios tradicionales nunca tendrá el mismo efecto que mostrar el anuncio del restaurante a personas que gracias a su localización por GPS sepas que están cerca de la zona del mismo. Además, si sabes que esas personas están ahí de paso o de viaje, también sabes que son más propensos a visitar el restaurante.

 

¿Los datos han tenido este valor siempre o este ha aumentado con la llegada de Internet?

Es lo que hablábamos al comienzo, los datos han estado siempre ahí, lo que ha cambiado ha sido la capacidad para procesarlos. Tus datos por sí solos apenas tienen utilidad, pero si se aplican estas técnicas para el análisis de grandes cantidades de datos, pasan a tener un valor y un interés muy alto. Estos análisis pueden ir dirigidos a diversos ámbitos; científicos, sanitarios, publicitarios… Un ejemplo sencillo de entender es que gracias a estos análisis las empresas saben a qué usuario “atacar” para conseguir una mayor difusión. Observando los datos, se escogen a usuarios que dentro de la red (o la red social) tienen un potencial de alcance e interacción mayor para campañas de marketing o publicidad.

 

Entonces, ¿al usuario le interesa realmente compartir estos datos?

La respuesta sería depende. En teoría la respuesta sería sí, y en la mayoría de los casos así es. Pero la realidad es que depende de las garantías que tengamos al usar la web/aplicación. Si estamos dispuestos a ofrecer nuestros datos, debemos tener garantías de que van a ser usados de manera correcta y con una finalidad lícita. Cada usuario elige su entorno, qué páginas web visita, qué búsquedas hace, qué comentarios pone, etc., y, en función de este, las empresas deciden qué publicidad mostrarle. A esta publicidad “personalizada” también hay que sumarle otro factor muy importante, las valoraciones de los propios usuarios. Esta interacción es valiosa tanto como para las empresas (para saber qué productos gustan más) como para el resto de usuarios a la hora de elegir un producto frente a otros. Al final, como he dicho, depende de las garantías que tengamos de que estos datos se usen de manera correcta.

 

"Si estamos dispuestos a ofrecer nuestros datos, debemos tener garantías de que van a ser usados de manera correcta y con una finalidad lícita"

 

Es aquí, para la garantía del buen uso de los datos, donde entiendo que entra en juego la figura del DPO, ¿quién es y qué papel desempeña para las empresas?

El DPO o Delegado de Protección de Datos es el oficial de cumplimiento normativo dentro de una empresa, institución, lo que sea. Es decir, es el que supervisa el desempeño que realiza la empresa con los datos que procesa. Es un trabajo que para ejercerlo hace falta, además de conocer la norma, tener habilidades para aplicarla en cada contexto. Para empresas e instituciones, como puede ser la UV, que trabajan con gran cantidad de datos, la asesoría de un DPO es imprescindible.

 

Si aun contando con esta figura, la empresa realiza una irregularidad, ¿la responsabilidad jurídica recae sobre el Delegado?

El DPO es una figura independiente a la empresa, institución, etc. Es un “colaborador” que revisa la gestión de los datos que hacen estas, y como tal no tiene ninguna responsabilidad jurídica ante el mal uso que pueda dar la empresa. Sin embargo, como oficial de cumplimiento normativo, el DPO tiene la obligación de denunciar y notificar cualquier infracción o anomalía que detecte. Una vez esta notificación está hecha, la responsabilidad queda en manos de la empresa.

 

Casos como el Brexit o la elección de Donald Trump han hecho sonar las alarmas en cuanto al poder del Big Data. ¿Crees realmente que el tratamiento de los datos pueda llegar a tener el poder para cambiar las elecciones de un país? ¿Y qué medidas se han tomado para que eventos así no vuelvan a suceder?

Nadie hace magia y consigue que, si vas a votar blanco, de un día para otro, cambies a votar negro. La estrategia fue la de implicar emocionalmente a los indecisos y conseguir que se decantaran hacia un lado o hacia otro. Esto ha sido investigado y tanto el parlamento europeo como el estadounidense han hecho sus indagaciones con diversas conclusiones. Una de las respuestas ha sido establecer un mayor vigilancia sobre estas empresas para controlar su actividad. Holanda, por ejemplo, eliminó todo tipo de votaciones democráticas que se realizaran online. Twitter ya no permite que se haga publicidad política o ideológica en su plataforma. Además, cualquier infracción de este tipo en la actualidad sería juzgado como tratamiento ilegal de datos. Al tratarse de datos ideológicos la infracción sería de carácter muy grave, con unas sanciones que oscilan entre los 20 millones de euros y el 4% de sus ingresos. En España la multa de este tipo más grande que ha habido es de 8 millones.

Si la empresa, pese a funcionar a nivel global, no tiene sede en Europa, ¿se puede sancionar a la empresa según la norma europea o es el país de origen el encargado de juzgarla?

La legislación europea prevé esto y tiene derecho a juzgar a la empresa con independencia de en qué país esté. Siempre que el delito lo haya cometido a un ciudadano o en territorio europeo. Las empresas tienen la obligación de designar o enviar a un representante que actúe en nombre de esta. La sede designada, por ejemplo, para Facebook se encuentra en Irlanda, por lo que si esta empresa comete un delito, sería la justicia de este país quien se encargaría de juzgar a la empresa, en primer lugar. Tú mismo puedes poner una denuncia a la policía si crees que se ha hecho un uso incorrecto de tus datos y esta denuncia acabará llegando a esta empresa en Irlanda o a la empresa que hayas denunciado.

 

Hay aplicaciones, como las de rastreo COVID, que crean cierta inseguridad a las personas, ¿cómo garantizan este tipo de apps la privacidad de los datos que les ofrecemos?

Las aplicaciones de este tipo por desgracia no han tenido mucho éxito aquí en España ni en Europa. El modelo utilizado para garantizar la privacidad de los usuarios consiste en un modelo descentralizado del control de los gobiernos, manteniendo anónimos los datos de los usuarios y haciendo la verificación de positivo mediante el sistema sanitario. Los datos aquí se usan para verificar el perfil, pero se mantienen anónimos al almacenarse. La verificación del positivo se realiza mediante los datos del sistema sanitario. Si la aplicación detecta que en tus datos pone positivo, notifica esto al resto de usuarios de la aplicación que han estado en contacto contigo, pero sin revelarles ninguna información ni datos sobre ti. Aquí en la Comunidad Valenciana, por ejemplo, la aplicación que hemos usado funcionaba de manera distinta. Si el usuario presenta síntomas, los indica en la aplicación. La información llega a un médico, que lo atiende de manera telefónica, con su historial médico delante, para confirmar si los síntomas pueden ser señal de COVID o no.

 

"Hay personas que desconfían de aplicaciones como las de rastreo de COVID mientras tienen instaladas en su dispositivo infinidad de aplicaciones que no ofrecen apenas o ninguna garantía del buen uso de sus datos"

 

¿Crees, entonces, que la población es consciente de cómo funciona su privacidad y la gestión de los datos que se realiza en Internet? ¿Cómo de necesaria ves la labor de divulgación de estos avances científicos y tecnológicos?

Sin duda, la sociedad necesita más información y más formación en materia de privacidad. Necesitan estos conocimientos para poder confiar y desconfiar. Para saber qué web o aplicación va a usar sus datos de manera correcta y cuál no. La mayoría de personas no tiene una buena noción sobre su privacidad y cómo funciona realmente, por lo que su opinión y sus acciones se mueven por estímulos externos. El objetivo del análisis y el procesamiento de datos es el de ayudar y mejorar la vida de las personas, pero hay personas que desconfían de aplicaciones como las de rastreo de COVID mientras tienen instaladas en su dispositivo infinidad de aplicaciones que no ofrecen apenas o ninguna garantía del buen uso de sus datos.