Ricard Martínez és Doctor en Dret i ha centrat el seu estudi en el dret fonamental a la protecció de dades i a qüestions sobre les tecnologies de la informació. Ha col·laborat amb multitud d’entitats com l’Agència Espanyola de Protecció de Dades o la Conferència de Rectors de les Universitats Espanyoles (CRUE-TIC). Actualment, a més del de la CRUE-TIC, coordina també el Grup de Treball sobre Drets Digitals dels Ciutadans de el Ministeri d’Energia, Turisme i Agenda Digital. Ha col·laborat també amb diferents universitats com a professor i com a Delegat de Protecció de Dades a la Universitat de València. Actualment treballa com a professor per aquesta al departament de Dret Constitucional, Ciència Política i de l’Administració, a més de ser el director de la Càtedra de Privadesa i Transformació Digital Microsoft. Compta amb nombroses publicacions, tant llibres com articles, en els quals aprofundeix més en aquests temes.

El primer i per entrar en matèria, què és aquest concepte del Big Data i per què ha cobrat tanta rellevància en els últims anys?

Les dades, com el petroli, han estat sempre ahí. Fa 3.000 anys ja existien jaciments de petroli que la gent utilitzava per abrillantar els vaixells, ara, aquest mateix petroli l’utilitzem com a combustible. Amb les dades ha passat el mateix. L’arribada i aparició d’Internet ha suposat un enorme canvi en la capacitat de computació que tenim. Ara tractem amb un volum de dades i una velocitat per a interpretar-los molt superior, gràcies a tecnologies com el Cloud Computing o el Machine Learning. Les màquines i els programes informàtics com aquests han permès un tractament de les dades per damunt de les capacitats humanes. Les dades poden ser estudiades i comparades sense necessitat de complexes taules o estructures per a l’enteniment de la ment humana.

Això ha permès que es puguen dur a terme anàlisis molt més massives. Gràcies a aquest nou tractament, es poden observar les tendències i les condicions d’una població, sobre temes sanitaris, socials, etc., i dur a terme mesures preventives.

"Les màquines i els programes informàtics com aquests han permès un tractament de les dades per damunt de les capacitats humanes"

Fa poc vaig escoltar que el valor de les dades ha superat l’esmentat petroli, com es pot explicar això?

El valor d'aquestes dades es veu justificat en la seua eficàcia publicitària. El mètode tradicional de propaganda es basa en un model amb previsions hipotètiques (un anunci de joguets tindrà més èxit en una cadena infantil, per exemple) mentre que, gràcies a l’anàlisi de dades i al desenvolupament de la tecnologia, la publicitat a Internet es basa en l’aplicació de la neurociència.

L’efectivitat d’aquesta publicitat és molt més gran que la tradicional. Les emocions tenen un paper vital a l’hora de posicionar els anuncis. A Internet saps quin anunci posar en cada moment perquè tinga el màxim èxit possible. Per exemple, anunciar un restaurant pels mitjans tradicionals mai tindrà el mateix efecte que mostrar l’anunci del restaurant a persones que gràcies a la seua localització per GPS sàpigues que estan a prop de la zona d’aquest. A més, si saps que aquestes persones hi són de pas o de viatge, també saps que són més propensos a visitar el restaurant.

Les dades han tingut aquest valor sempre o aquest ha augmentat amb l’arribada d’Internet?

És el que parlàvem a l’inici, les dades han estat sempre ahí, el que ha canviat ha estat la capacitat per processar-los. Les teues dades per si soles a penes tenen utilitat, però si s’apliquen aquestes tècniques per a l’anàlisi de grans quantitats de dades, passen a tenir un valor i un interès molt alt. Aquestes anàlisis poden anar dirigides a diversos àmbits; científics, sanitaris, publicitaris... Un exemple senzill d’entendre és que gràcies a aquestes anàlisis les empreses saben a quin usuari “atacar” per aconseguir una major difusió. Observant les dades, es trien usuaris que dins de la xarxa (o la xarxa social) tenen un potencial d’abast i interacció més gran per campanyes de màrqueting o publicitat.

Llavors, a l’usuari li interessa realment compartir aquestes dades?

La resposta seria depèn. En teoria la resposta seria sí, i en la majoria dels casos així és. Però la realitat és que depèn de les garanties que tinguem en utilitzar la web/aplicació. Si estem disposats a oferir les nostres dades, hem de tindre garanties que seran usades de manera correcta i amb una finalitat lícita. Cada usuari tria el seu entorn, quines pàgines web visita, quines recerques fa, quins comentaris posa, etc., i, en funció d’aquest, les empreses decideixen quina publicitat mostrar-li. A aquesta publicitat “personalitzada” també cal sumar-li un altre factor molt important, les valoracions dels usuaris. Aquesta interacció és valuosa tant com per a les empreses (per saber quins productes agraden més) com per a la resta d’usuaris a l’hora de triar un producte davant d’uns altres. A final, com he dit, depèn de les garanties que tinguem que aquestes dades es facen servir de manera correcta.

"Si estem disposats a oferir les nostres dades, hem de tindre garanties que seran usades de manera correcta i amb una finalitat lícita"

És ací, per a la garantia del bon ús de les dades, on entenc que entra en joc la figura del DPO, qui és i quin paper fa per a les empreses?

El DPO o delegat de Protecció de Dades és l’oficial de compliment normatiu dins d’una empresa, institució, el que siga. És a dir, és el que supervisa el que fa l’empresa amb les dades que processa. És un treball que per exercir-lo cal, a més de conèixer la norma, tindre habilitats per aplicar-la en cada context. Per a empreses i institucions, com pot ser la UV, que treballen amb gran quantitat de dades, l’assessoria d’un DPO és imprescindible.

Si fins i tot comptant amb aquesta figura, l’empresa comet una irregularitat, la responsabilitat jurídica recau sobre el Delegat?

El DPO és una figura independent a l’empresa, institució, etc. És un “col·laborador” que revisa la gestió de les dades que fan aquestes, i com a tal no té cap responsabilitat jurídica davant el mal ús que puga donar l’empresa. No obstant això, com a oficial de compliment normatiu, el DPO té l’obligació de denunciar i notificar qualsevol infracció o anomalia que detecte. Una vegada aquesta notificació està feta, la responsabilitat queda en mans de l’empresa.

Casos com el Brexit o l’elecció de Donald Trump han fet sonar les alarmes pel que fa a el poder del Big Data. Creus realment que el tractament de les dades puga arribar a tindre el poder per canviar les eleccions d’un país? I quines mesures s’han pres perquè esdeveniments així no tornen a passar?

Ningú fa màgia i aconsegueix que, si vas a votar blanc, d’un dia per l’altre, canvies a votar negre. L’estratègia va ser la d’implicar emocionalment els indecisos i aconseguir que es decantaren cap a un costat o cap a un altre. Això ha estat investigat i tant el Parlament Europeu com l’estatunidenc han fet les seues indagacions amb diverses conclusions. Una de les respostes ha estat establir un major vigilància sobre aquestes empreses per controlar-ne l’activitat. Holanda, per exemple, va eliminar tot tipus de votacions democràtiques que es feren en línia. Twitter ja no permet que es faça publicitat política o ideològica en la seua plataforma. A més, qualsevol infracció d’aquest tipus en l’actualitat seria jutjat com a tractament il·legal de dades. En tractar-se de dades ideològics la infracció seria de caràcter molt greu, amb unes sancions que van dels 20 milions d’euros i el 4% dels seus ingressos. A Espanya la multa d’aquest tipus més gran que hi ha hagut és de 8 milions.

Si l’empresa, tot i funcionar a nivell global, no té seu a Europa, es pot sancionar l’empresa segons la norma europea o és el país d’origen l’encarregat de jutjar-la?

La legislació europea preveu això i té dret a jutjar l’empresa amb independència de en quin país estiga. Sempre que el delicte l’haja comès a un ciutadà o en territori europeu. Les empreses tenen l’obligació de designar o enviar un representant que actue en nom d’aquesta. La seu designada, per exemple, per a Facebook es troba a Irlanda, de manera que si aquesta empresa comet un delicte, seria la justícia d’aquest país qui s’encarregaria de jutjar a l’empresa, en primer lloc. Tu mateix pots posar una denúncia a la policia si creus que s’ha fet un ús incorrecte de les teues dades i aquesta denúncia acabarà arribant a aquesta empresa a Irlanda o a l’empresa que hages denunciat.

Hi ha aplicacions, com les de rastreig COVID, que creen certa inseguretat a les persones, com garanteixen aquest tipus d’apps la privacitat de les dades que els oferim?

Les aplicacions d’aquest tipus per desgràcia no han tingut molt d’èxit ací a Espanya ni a Europa. El model utilitzat per garantir la privacitat dels usuaris consisteix en un model descentralitzat del control dels governs, mantenint anònimes les dades dels usuaris i fent la verificació de positiu mitjançant el sistema sanitari. Les dades ací es fan servir per verificar el perfil, però es mantenen anònimes en l'emmagatzemar-se. La verificació del positiu es du a terme mitjançant les dades del sistema sanitari. Si l’aplicació detecta que en les dades posa positiu, notifica això a la resta d’usuaris de l’aplicació que han estat en contacte amb tu, però sense revelar-los cap informació ni dades sobre tu. Aquí a la Comunitat Valenciana, per exemple, l’aplicació que hem fet servir funcionava de manera diferent. Si l’usuari presenta símptomes, els indica en l’aplicació. La informació arriba a un metge, que l’atén de manera telefònica, amb el seu historial mèdic davant, per confirmar si els símptomes poden ser senyal de COVID o no.

"Hi ha persones que desconfien d’aplicacions com les de rastreig de COVID mentre tenen instal·lades en el seu dispositiu infinitat d’aplicacions que ofereixen poca o cap garantia del bon ús de les seues dades"

Creus, doncs, que la població és conscient de com funciona la seua privacitat i la gestió de les dades que es fa a Internet? Com de necessària veus la tasca de divulgació d’aquests avenços científics i tecnològics?

Sens dubte, la societat necessita més informació i més formació en matèria de privacitat. Necessiten aquests coneixements per a poder confiar i desconfiar. Per saber quina web o aplicació utilitzarà les seues dades de manera correcta i quina no. La majoria de persones no té una bona noció sobre la seua privacitat i com funciona realment, motiu pel qual la seua opinió i les seues accions es mouen per estímuls externs. L’objectiu de l’anàlisi i el processament de dades és el d’ajudar i millorar la vida de les persones, però hi ha persones que desconfien d’aplicacions com les de rastreig de COVID mentre tenen instal·lades en el seu dispositiu infinitat d’aplicacions que ofereixen poca o cap garantia del bon ús de les seues dades.