Tag Archives: Datos personales

Fashion Law. Data Fashion: cuestiones de privacidad y protección de datos (VI)

La firma ELZABURU ha tenido el placer de colaborar con la editorial Thomson-Reuters Aranzadi en la obra Fashion Law, tratado pionero en España sobre el derecho de la moda, que fue presentado el pasado 16 de abril. 

Con estos pequeños resúmenes semanales, los profesionales de ELZABURU que han colaborado en la obra nos ofrecen una breve panorámica de su contribución: 

    Data Fashion. Cuestiones de privacidad y protección de datos

Es indudable que los datos se han convertido en uno de los activos intangibles más valiosos de cualquier organización. El sector de la moda no es ninguna excepción y en él la tecnología también facilita el aumento de ventas y la reducción de costes, así como conocer muy bien al cliente y poder anticiparse a sus necesidades.

En este sentido, una analítica inteligente y una adecuada gestión de la protección de datos en la empresa se puede convertir en un arma competitiva a la vez que en una herramienta más de fidelización de antiguos clientes y atracción de nuevos, pero ello siempre que se haga con el debido respeto y con transparencia hacia los clientes y usuarios. El Big Data es una herramienta muy potente, si bien son varias las precauciones a adoptar para no vulnerar los derechos y libertades de las personas cuya información se va a someter a los procesos masivos de datos, máxime si éstos se van a combinar o completar con decisiones automatizadas, una de las mayores amenazas que podemos encontrar en el tratamiento masivo de datos, así como en la denominada inteligencia artificial.

El Reglamento General de Protección de Datos ha traído consigo mayores obligaciones respecto al tratamiento de datos personales. En este sentido, con gran probabilidad aquellas organizaciones que se valgan de procesos de Big Data deberán llevar a cabo una evaluación de impacto en protección de datos sobre los tratamientos implicados, así como designar un Delegado de Protección de Datos.

El marketing de comportamiento, o comportamental, permite rastrear el comportamiento de los usuarios para crear posteriormente perfiles detallados, pudiendo catalogar así a los individuos y dirigirles publicidad acorde a sus gustos y preferencias. Esa monitorización del comportamiento puede resultar más o menos invasiva y llevarse a cabo a través de distintas vías. En el sector de la moda dichas vías pueden ser espacios públicos, a través de diversas técnicas de geolocalización (etiquetas RFID, geofencing, beacons, GPS, servicios de localización en móvil…), en los nuevos espacios comerciales compartidos por varias marcas, en el propio establecimiento mediante la implementación de diversas tecnologías que pueden convertirlo en tienda inteligente y a través de Internet (gracias a las redes sociales, las cookies y dispositivos similares, las aplicaciones móviles, los wearables etc.)

Sean como sean los diversos tratamientos de datos que pueden llevarse a cabo, las marcas deben colocar a sus clientes y usuarios en el centro del negocio y ello conlleva procurarles un cuidadoso trato y demostrarles que son importantes para el negocio y que, por lo tanto, sus intereses son respetados. Esto supone que cualquier tratamiento de sus datos debe ser lícito, leal y transparente.

Para ello, los tratamientos de datos que pueden llevarse en el sector de la moda necesitarán estar basados con carácter general en la concurrencia de alguno de los siguientes supuestos:

  • Que exista una relación contractual o precontractual entre la marca y el cliente o potencial cliente cuya celebración o cumplimiento justifique el tratamiento de los datos (por ejemplo, la venta a un cliente de cualquier producto).
  • Que exista un interés legítimo de la marca que prevalezca sobre los intereses y derechos del cliente o potencial cliente (por ejemplo, en determinados casos, la mercadotecnia directa, excepto e-mail marketing que precisa con carácter general el consentimiento expreso de los destinatarios del correo electrónico).
  • En la existencia de una obligación legal que le resulta aplicable a la marca (por ejemplo, las obligaciones fiscales o contables).
  • O en el consentimiento expreso de los distintos interesados (por ejemplo, para el envío de una newsletter).

Por último, para poder entender que cualquier tratamiento de datos que se lleve a cabo es leal y transparente, deberá huirse de emplear medios fraudulentos o tramposos, tanto en la recogida de los datos como en la posterior utilización de los mismos, y además debe facilitarse a las distintas personas cuyos datos tratamos (clientes, potenciales clientes, contactos, empleados, etc.), información sobre las características de los tratamientos de sus datos, información que puede resumirse en lo relativo a quién y cómo trata sus datos, con quién se comparten, si van a ser enviados o accedidos desde fuera del Espacio Económico Europeo y qué derechos tienen en relación con tales tratamientos.

  Autora: Ruth Benito

Visite nuestra web: http://www.elzaburu.es/

 

La serie Fashion Law se compone de las siguientes entregas:

1. La protección de las marcas en el sector de la moda (23.04.2018)

2.La protección de los diseños en el sector de la moda (30.04.2018)

3.La protección de las patentes en el sector de la moda (07.05.2018)

4.La protección de la moda a través del derecho de autor (21.05.2018)

5.El derecho de imagen en el mundo de la moda (28.05.2018)

6.Data Fashion: cuestiones de privacidad y protección de datos (04.06.2018)

7.Fashion Law. Falsificación y piratería en la moda (11.06.2018)

8.Fashion Law. Agotamiento de derechos en el sector de la moda (18.06.2018)

9.La reputación corporativa en el sector de la moda (25.06.2018)

10.Protección de la imagen comercial de una marca de moda (04.07.2018)

11.Moda 4.0: webs, apps y RRSS (13.07.2018)

12.Valoración de intangibles (17.07.2018)

13. Licenciamiento (06.09.2018)

Brexit: Perspectivas en materia de protección de datos

La opción tomada por los ciudadanos británicos en el referéndum del pasado 23 de junio de 2016 tiene múltiples consecuencias, muchas de ellas jurídicas. Algunas han sido ya abordadas, pero se ha relegado a un segundo plano lo que el denominado Brexit puede significar para un derecho de los ciudadanos europeos como es la privacidad y la protección de datos.

El marco regulatorio de protección de datos en la Unión Europea confería una total libertad de circulación a los datos dentro de las fronteras de los 28 países miembros. Así, la salida del Reino Unido de la Unión, y por tanto, de ese entorno legislativo, va a provocar que se considere a los radicados en las islas como establecidos en un tercer país, lidiando con controversias como las actualmente existentes con Estados Unidos. En resumidas cuentas, enviar datos de cualquier país de la Unión a Reino Unido constituirá una transferencia internacional de datos, con los efectos legales que ello conlleva.

Es evidente que, dada la importancia que tiene el tratamiento masivo de datos para una empresa de cualquier tipo de industria, Reino Unido no va a mantenerse distante respecto de sus antiguos compañeros, pues no interactuar en este campo con la Unión le dejaría en fuera de juego en un campo de vital importancia para la economía.

Ante esta situación se abre una clara incertidumbre, que habrá de ser resuelta por el gobierno británico en los próximos meses, en torno a la decisión que se adoptará en materia de protección de datos desde el Estado insular.

Antes de nada, hay que comprender la situación legislativa del Reino Unido en esta materia. En la actualidad, la norma aplicable a la protección de datos a nivel nacional es la UK Data Protection Act de 1998, producto de la transposición de la directiva europea de protección de datos de 1995, por lo que implanta los conceptos y principios fundamentales que se utilizan en las normativas europeas de protección de datos en toda Europa. También es relevante la UK Electronic Communications Act, que regula cuestiones de firma electrónica provenientes de la directiva de 1999, transacciones y comunicaciones electrónicas, apoyada en los textos que transpusieron la directiva de comercio electrónico del año 2000. Como puede verse, el marco legislativo actual no dista mucho del que existe en los otros 27 países gracias a la transposición de varias directivas.


A primera vista, la reacción previsible es que se considere al Reino Unido un país con un nivel de protección seguro en protección de datos, no habiendo demasiados problemas para mantener la situación actual, puesto que su normativa está actualmente adaptada a la Europea, siendo muy próxima a la de los otros 27. Claro que esto depende de varios factores: en primer lugar, el gobierno británico cambia, por lo que no conocemos las intenciones de próximos ocupantes del número 10 de Downing Street, así que es factible pensar en un cambio de política legislativa en cuanto a la protección de datos, rompiendo así de manera más drástica los lazos les unían con la Unión. Otra variable a considerar es que la declaración como país con nivel de protección suficiente depende de la aprobación de la Comisión Europea, teniendo que llevarse a cabo por un procedimiento regulado, habiendo de estudiarse numerosos elementos como el funcionamiento de una autoridad de control, la jurisprudencia acerca del tema, los compromisos internacionales del país; además de que ha de revisarse el acuerdo cada cuatro años.

Suponiendo que la segunda opción, más realista y conservadora, sea la que se dé de manera efectiva, la coyuntura no estaría exenta de problemas. La necesidad de la declaración de la Comisión a la que se hacía referencia puede provocar que, en el intervalo de tiempo que exista entre la salida efectiva de la Unión y la aprobación del acuerdo, Reino Unido sea un tercer país y los movimientos al mismo sean transferencias internacionales de datos. Aquí se abriría un intervalo de tiempo indeterminado en el que las empresas de ambas partes tendrían que regularizar sus operaciones para cumplir con una normativa de transición con fecha de caducidad indeterminada. En resumen, demasiados cambios y obligaciones para un espacio de tiempo relativamente corto. A esto hay que sumarle que la normativa y las prácticas del Estado británico en materia de protección de datos serán vigiladas de forma detallada por los reguladores de la Unión, sometiéndose a un escrutinio minucioso.

No cabe olvidar que esta pugna tiene dos bandos, así que la reacción de la Unión Europea ha de ser valorada. Puesto que, si se produce la salida efectiva, será la Comisión la que deberá valorar un acuerdo que declare a Reino Unido como una especie de “puerto seguro”, la institución europea puede exigir unos estándares tremendamente exigentes con su excompañero. Así, el lado europeo tiene la capacidad de someter la normativa británica a un análisis pormenorizado que les degrade en la negociación, teniendo que aceptar un férreo control desde Bruselas con tal de no terminar en un limbo normativo.

Esta declaración de país con un nivel de protección suficiente sería necesaria solamente si Reino Unido, al abandonar la Unión Europea, no decide entrar en el Espacio Económico Europeo. Este es el modelo que sigue Suiza, que no es parte del EEE. El país helvético tiene un acuerdo desde el año 2000 por el que se establece que, al igual que otros territorios como la Isla de Man, Uruguay o Nueva Zelanda, se asegura un nivel adecuado para el tratamiento de datos personales en ese Estado. En el caso de que los británicos opten por adherirse al EEE, la legislación europea en materia de protección de datos se les aplicaría, así que no habría una transferencia internacional de datos al enviar datos a las islas.

Viendo que la opción digamos, tranquila, conservadora o cercana a la Unión, entraña muchos más problemas de los que parece, hay que tener en mente que no puede descartarse un movimiento mucho más drástico por parte del gobierno entrante, reformando la legislación existente en protección de datos para alejarse de la europea, de la cual manifestaron sus discrepancias durante el proceso de aprobación, adoptando así una posición más acorde con los principios menos proteccionistas del mundo anglosajón. Puesto que se asemeja contraproducente que se aíslen de tal forma, esta opción parece menos probable, aunque siempre puede razonarse que si la Unión ha llegado a alcanzar un acuerdo con Estados Unidos, podría alcanzarse con Gran Bretaña en tal caso.

A este respecto, el Information Commissioner’s Office, a través de Christopher Graham, ha manifestado que “es crucial tanto para empresas y organizaciones como para consumidores y ciudadanos que haya consistencia internacional en torno a las leyes y derechos de protección de datos”, así como que “hablaremos con el gobierno para presentar nuestra visión de que es necesaria una reforma en la legislación británica”. Por tanto, desde instituciones del país relevantes en el tema abogan, parece por mantener una unidad en la normativa entre Europa y el Reino Unido.

Sea cual sea la opción seguida, las consecuencias son, como mínimo, complejas. La salida se basa en el artículo 50 del Tratado de la Unión Europea, según el cual, el Estado saliente y la Unión habrán de negociar un pacto de salida, fijando una fecha para el cese de la aplicación de los tratados que, de no fijarse, se produciría al cumplirse los dos años de la celebración de ese acuerdo, pudiendo prorrogarse este lapso de tiempo. Este periodo tiene una importancia vital, puesto que el Reglamento Europeo de Protección de Datos comenzará a tener efectos el 25 de Mayo de 2018, con lo que es más que probable que llegue a ser aplicable a Reino Unido durante un tiempo, puesto que todavía no se ha llegado al acuerdo de salida. Así, la situación en esta materia se tornaría esperpéntica: durante el periodo de negociación del acuerdo de salida y durante el plazo para la misma se seguiría aplicando la ley de 1998, proveniente de una directiva europea; hasta Mayo de 2018, momento en el que la salida, casi con total seguridad, no será efectiva todavía, por lo que empezará a aplicarse el reglamento europeo de protección de datos hasta la fecha en la que se fije el fin de la aplicación de los tratados. Cabe añadir que, una vez entre en vigor el reglamento, cualquier empresa u organización estará obligada a cumplir con su articulado si trata datos de ciudadanos de la UE, independientemente de dónde esté radicada la misma, así que cuando llegue el momento en que eviten la aplicación del reglamento, gran parte de las corporaciones británicas tendrán que sujetarse en buena parte de su actividad a dicho texto.

Podemos prever, sin miedo a equivocarnos, que la legislación británica seguirá acorde a la europea durante un plazo considerable, lo cual torna la bifurcación anteriormente comentada en una decisión a medio plazo. La aplicación del reglamento en Reino Unido será una realidad, así que durante un periodo prudencial habrá calma en cuanto a la protección de datos en el continente. De hecho, Reino Unido, al igual que el resto de países de la Unión, tendrá que transponer a su derecho interno la directiva de reciente aprobación (mayo) por el Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión; es decir, su legislación seguirá avanzando al ritmo del resto de la Unión, de momento.

El mare magnum de dudas suscitadas por el referéndum deja a todos los actores en una situación de desconcierto en el que no cabe más que esperar al desarrollo de los acontecimientos para hablar a ciencia cierta. Mientras tanto solamente se pueden hacer pronósticos y conjeturar. 



Visite nuestra página web: http://www.elzaburu.es/

La Comisión Europea pone en marcha el Escudo de la privacidad UE-EE.UU ( Privacy shield )

El 12 julio la Comisión Europea adoptó un nuevo acuerdo para la transferencia internacional de datos entre Estados Unidos y la Unión Europea, el “Privacy Shield”.

La necesidad de este nuevo marco surgió a raíz de la Sentencia dictada por el Tribunal de Justicia de la Unión Europea el pasado octubre en relación con el asunto “Schrems”. Mediante su resolución, el órgano europeo apuntaba las graves deficiencias de las que el acuerdo anterior, el “Safe Harbor”, adolecía, hasta el punto de devenir inválido [Véase comentario en este mismo blog].

A este respecto, en febrero de 2016, se anunció el advenimiento de un nuevo programa que reflejaría las garantías necesarias para permitir un flujo transatlántico de datos de carácter personal de los ciudadanos comunitarios. Es preciso destacar que ese mismo mes, el organismo francés de protección de datos (la Comisión Nacional de Informática y Libertades o CNIL) instó a Facebook a que dejara de almacenar datos de usuarios que no tuvieran cuenta en la red social, así como de transferir dichas informaciones a EEUU, provocando así una creciente conciencia en torno al tránsito de datos a través del Atlántico en todo el territorio europeo.

Es por ello que, desde que se concibió, este nuevo marco ha estado en el punto de mira de varios sectores.

La redacción final del texto pretende reflejar los siguientes principios:
  • Obligaciones rigurosas para las empresas que trabajan con datos
  • Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense
  • Protección eficaz de los derechos individuales
  • Mecanismo de revisión conjunta anual

Ello se verá reflejado en factores como que las compañías estadounidenses que traten datos de ciudadanos europeos deban inscribirse en la lista del “Privacy Shield” y auto-certificar que cumplen con las condiciones establecidas por el acuerdo; además, se implementarán mecanismos de resolución de litigios accesibles para aquellos ciudadanos que consideren vulnerados sus derechos en el marco de este sistema, así como una cooperación entre la Comisión Europea y el Departamento de Comercio de los Estados Unidos.

Las medidas anteriores no buscan sino asegurar un nivel de protección adecuado de los datos personales de los ciudadanos de la Unión Europea, así como garantías para las empresas estadounidenses que, al operar en el mercado, estén tratando dichos datos.

La decisión de adecuación ha entrado ya en vigor, aunque las compañías estadounidenses no podrán inscribirse en la mencionada lista hasta el 1 de agosto de 2016. En cuanto a los ciudadanos europeos, la Comisión Europea ha anunciado que publicará una guía para ayudar a poner en marcha los procedimientos de reclamación frente a las empresas; por el momento, junto con el comunicado de prensa, ha facilitado información en formato FAQ

Como es natural en un tema tan trascendental, las condiciones de este nuevo acuerdo no han sido una cuestión pacífica.

Así, figuras como la del eurodiputado Jan-Philipp Albrecht consideran que, si bien el pacto puede parecer garantista a primera vista, la aplicación práctica de sus mecanismos pueden dejarlo vacío de contenido. Destaca lo intrincado y complejo del sistema de denuncia por parte de un ciudadano frente a un uso no autorizado, debido al gran número de intermediarios que deben participar, tales como órganos de arbitraje y autoridades nacionales. Del mismo modo varios sectores han destacado que la redacción en torno a la vigilancia masiva reproduce de forma casi literal la del “Safe Harbor”.

No obstante, cabe recordar que el “Privacy Shield” ha sido modificado a lo largo de su elaboración para acomodar las sugerencias y opiniones de órganos tan exhaustivos en la materia como el Grupo de Trabajo del Artículo 29, el Parlamento Europeo o el Supervisor Europeo de Protección de Datos.

De este modo se proporciona una herramienta más para el fomento del comercio entre la Unión Europea y Estados Unidos partiendo de una visión más garante de los derechos del ciudadano.




Visite nuestra página web: http://www.elzaburu.es/

No hay puerto seguro: navegando en la tempestad (Caso Maximilliam Schrems v Data Protection Commissioner)

La largamente esperada decisión en el marco del asunto C-362/14 Maximillian Schrems v Data Protection Commissioner ha sido finalmente publicada en fecha 6 de octubre de 2015. Controvertida en sus conclusiones, esta sentencia sobre una cuestión prejudicial trae nueva luz en el debate permanente en materia de recopilación, transferencia y tratamiento de datos de ciudadanos comunitarios por parte de compañías estadounidenses, y el tratamiento de estos datos por parte de las agencias de inteligencia estadounidenses dentro del marco del programa PRISMA.

Antecedentes

El señor Schrems, un ciudadano austriaco, es un usuario de la plataforma Facebook desde 2008. Tal y como resulta habitual en relación con todos los usuarios residentes en la Unión Europea, una parte o la totalidad de los datos que facilitan a Facebook es transferida desde la filial irlandesa de Facebook hacia servidores localizados en los Estados Unidos, donde son tratados. 

El señor Schrems formuló una demanda ante la autoridad supervisora irlandesa (el Comisario de Protección de Datos) con base en el hecho de que a la luz de las revelaciones realizadas por Edward Snowden en 2013, sobre las actividades de los servicios de inteligencia de los Estados Unidos (en particular, la NSA), la ley y las prácticas vigentes en los Estados Unidos no ofrecían protección suficiente contra la vigilancia por parte de las autoridades públicas de los datos transferidos desde la Unión Europea a ese país.

El supervisor irlandés rechazó la demanda basándose en la decisión de 26 de julio de 2000, en la que se señalaba que bajo el “esquema de puerto seguro” los Estados Unidos aseguraban un nivel de protección de los datos de carácter personal transferidos adecuado y satisfactorio (conocida como la “Decisión de puerto seguro”).

El señor Schrems, a continuación, recurrió ante la High Court de Irlanda, la cual consideró que la cuestión planteada en esta acción estaba estrechamente vinculada con la normativa comunitaria ya que, en opinión de la High Court, la Decisión de Puerto Seguro no cumplía con los principios considerados en las sentencias dictadas en los asuntos C-293/12 y C-594/12, EU:C:2014:238.

Cuestión prejudicial elevada al TJUE

El 17 de Julio de 2014, la High Court de Irlanda, ante la que se había sustanciado el asunto, remitió las siguientes cuestiones prejudiciales al Tribunal de Justicia para obtener una respuesta aclaratoria al respecto:

1) En el marco de la resolución de una reclamación presentada ante el comisario, en la que se afirma que se están transmitiendo datos personales a un tercer país (en el caso de autos, Estados Unidos) cuya legislación y práctica no prevén una protección adecuada de la persona sobre la que versan los datos, ¿está vinculado dicho comisario en términos absolutos por la declaración comunitaria en sentido contrario contenida en la Decisión 2000/520, habida cuenta de los artículos 7, 8 y 47 de la Carta y no obstante lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE? 

2) En caso contrario, ¿puede o debe realizar dicho comisario su propia investigación del asunto a la luz de la evolución de los hechos que ha tenido lugar desde que se publicó por vez primera la Decisión 2000/520?

La Opinión del Abogado General, de 23 de septiembre de 2015

De acuerdo con la Opinión del Abogado General (Yves Bot), una compañía, por el mero hecho de contra con una certificación de Puerto seguro, no cumple de forma automática con los requisitos para transferencias de datos establecidos en la directiva comunitaria en materia de protección de datos.

Este argumento ya estaba presente en la Comunicación COM(2013) 846 y en la Comunicación COM(2013) 847.

Como era de esperar, el TJUE ha adoptado los argumentos formulados por el Abogado General. 


La sentencia publicada el 6 de octubre de 2015

El TJUE ha fallado que la Decisión de Puerto seguro es inválida, y que la autoridad supervisora irlandesa debería haber analizado la reclamación del señor Schrems de forma detallada y diligentemente para determinar si la transferencia de datos por parte de la filial europea de Facebook a servidores de Facebook en Estados Unidos era conforme con los principios de protección de datos y con la protección de los derechos fundamentales de los ciudadanos comunitarios, habida cuenta la existencia de pruebas que sugerían que las prácticas seguidas en los Estados Unidos no garantizaban un nivel de protección adecuado de los datos de carácter personal del señor Schrems. 

Esta sentencia dinamita el sistema de puerto seguro que estaba en marcha y está siendo considerado tanto por los académicos como por los medios como un movimiento certero e impactante en la protección de los datos de los ciudadanos comunitarios.

El pasado 1 de octubre, el propio señor Schrems no era capaz de prever el resultado e impacto de su cruzada.     


         

Punto de inflexión. Posibles consecuencias.

Esta decisión, al igual que la famosa decisión del año pasado en el caso C-131/12 Google Spain v AEPD and Mario Costeja González (se puede pinchar aquí para un comentario en este blog), ha causado un tsunami a nivel mundial en los sectores de la protección de datos y de las tecnologías de la información.

Ahora los Estados miembros, en particular sus agencias de protección de datos, han de tomar una decisión sobre el puerto seguro en sus respectivas jurisdicciones, e incluso sobre si lo prohíben dentro de sus fronteras.

Considerando que la High Court de Irlanda fue el tribunal que planteó la cuestión prejudicial que ha dado lugar a esta decisión, seguramente será el primer órgano judicial que decida si las compañías estadounidense deberán (a) recopilar y procesar todos los datos de carácter personal de los ciudadanos comunitarios dentro de la Unión Europea; o (b) comprometerse a proteger efectivamente los datos de carácter personal de los ciudadanos comunitarios, evitando cualquier acceso o injerencia por parte de las agencias de inteligencia de los Estados Unidos.

De todas formas, creemos preciso señalar que las conclusiones alcanzadas por el TJUE en relación con el Puerto seguro también serían aplicables a las compañías que operan bajo un sistema de BCR (Binding Corporate Rules) o esquemas de contratos modelo.

Por otro lado, el artículo 26 de la Directiva 95/46 establece las excepciones en las que las compañías estadounidenses podrían ampararse a la hora de seguir tratando datos de ciudadanos comunitarios (a saber, el consentimiento del sujeto del tratamiento, la necesidad de transferir los datos para ejecutar un contrato suscrito con el sujeto del tratamiento, etc).

En vista de lo anterior, esta resolución del TJUE es una llamada de aviso a las compañías extranjeras que tratan datos de carácter personal de ciudadanos comunitarios, para que protejan dichos datos de conformidad con estándares razonables desde el punto de vista de la normativa comunitaria en la materia.    



Visite nuestra página web: http://www.elzaburu.es/                     

Nuevos negocios y aplicaciones: Big Data y la evolución del Internet de las Cosas. Una segunda revolución industrial

Situación Actual y Cifras

El creciente uso de dispositivos móviles y el desarrollo de las redes sociales han dado lugar a una segunda revolución industrial, produciendo un crecimiento exponencial de datos disponibles a través de contenidos multimedia compartidos, junto con la existencia de tecnología que extrapola ingentes cantidades de datos estructurados y no estructurados, de diferentes fuentes, en diferentes formatos, en información analítica, que mejora las decisiones de negocio y ofrece la posibilidad de trazar, evaluar, analizar, medir, comparar datos, cifras, comportamientos, hábitos, quién hizo qué, cuándo y dónde – de manera casi instantánea, dando lugar a la era del Big Data y a la evolución del Internet de las Cosas, “IoT”.
Las cifras/estadísticas señalan que en 2010, había aproximadamente 80 millones de dispositivos M2M a nivel mundial, pero en 2020, se espera que esta cifra alcance los 50 billones americanos. En 2015, la Asociación de Electrónica de Consumo, “CEA”, espera que haya 25 mil millones de dispositivos conectados. Según la CEA, habrá 42 millones de coches inteligentes en 2017, y la Global Telecommunication Association,“GSMA”, predice que el Internet de las Cosas producirá $ 4.5 trillones (con una “t”) de ingresos en 2020- 635 mil millones dólares de los cuales procederán de servicios de juego y entretenimiento. Otros expertos prevén que el mercado mundial de soluciones IoT crecerá desde los $1.9 trillones del año 2014 hasta los $7.1 trillones (también americanos) en el año 2020.

Usos: Teleco, Bancario, Retail, Moda, Música, Inteligencia artificial, Robótica, Medicina

Para obtener el máximo impacto en los negocios, se requiere una combinación de personas, procesos y tecnología (herramientas de análisis). El Big Data se está empleando en el marketing personalizado usando las aplicaciones e información de las redes sociales, en información geográfica para análisis de desplazamientos, procesamiento de información de dispositivos en tiempo real, complejos análisis sobre un gran número de datos en minutos, predicción de necesidades individuales, etc. 
A través del Big Data se están implantando nuevas actividades comerciales y creando nuevos hábitos como formas de compra, aplicaciones y negocios principalmente en el sector de las telecomunicaciones, bancario, retail, moda, música, inteligencia artificial, robótica o medicina, lo cual plantea no sólo cuestiones jurídicas sino también éticas.

Concretamente, en el sector bancario en una entrevista que se efectuó a Marco Bressan, presidente ejecutivo de BBVA Data & Analytics, éste afirmaba que “El Big Data nos permite redefinir las fronteras de nuestros servicios”. Según Bressan, “en el Banco se trata un pago como un objeto hermético, cuando en realidad cada pago contiene muchísima información sobre el comportamiento de nuestros clientes, de hecho la capacidad de información de un ‘like’ palidece en riqueza frente al valor que se desprende de un simple pago. Se puede considerar que un ‘like’ es una intención de voto, cuando un pago es un voto concreto. Hay que tener en cuenta que en el Banco no sólo tenemos pagos, sino que tenemos movimientos de cuentas, contratos, correos, llamadas telefónicas y más información de millones de clientes.”
Respecto a la pregunta de ¿Qué tiene de cierto eso de que gracias al big data podremos anticiparnos a los acontecimientos? Bressan afirmaba que “el verdadero valor del big data será cuando se explote la capacidad de grandes volúmenes de información para anticipar el futuro.Y lo que es más el Big Data producirá un cambio en la forma de hacer negocios: ..en la medida en que mejoremos la capacidad predictiva, la forma de hacer negocios y de relacionarnos con los clientes cambiará de forma drástica. ¿Qué sentido tendrá pensar en segmentos de clientes cuando seamos capaces de predecir necesidades individuales?
Los operadores de Teleco también están empezando a ver cómo la oferta de servicios de muy bajo costo puede aportar información para la generación de servicios aún más provechosos en el mundo del Big Data. Véase,por ejemplo, aquí. En España están empezando a aprovechar este recurso. Los operadores ven en el Big Data una forma de obtener ingresos atípicos mediante el desarrollo de nuevos negocios relacionados con el marketing y la publicidad, vendiendo estos datos, después de su análisis y moldeado, para que otras empresas puedan hacer uso y sacar beneficio, como hacen las OTT. 
En el mundo Retail, los usos prácticos del Big Data no son una mera teoría. La cadena inglesa Tesco ha incrementado el 12 por ciento sus ventas, durante los primeros ensayos, al utilizar el análisis de datos para determinar qué artículos top descontar y cuándo. Así, a través de su subsidiaria Dunnhumby, una compañía de información de compras, Tesco rastrea y sigue los datos de ventas de 16 millones de familias, que representan aproximadamente 6 millones de transacciones al día usando Tesco Clubcards y acumulando puntos de recompensa. La empresa también se beneficia vendiendo sus datos de compras a otras empresas. El programa está sujeto a controversia, debido a que algunos críticos dicen que a los compradores no se les informa de que sus datos están siendo utilizados para beneficio de Tesco. La compañía argumenta que se trata sólo de identificar tendencias, no  de hurgar en las vidas de sus clientes.
En el mundo de la Moda también ha llegado el uso del Big Data y el Internet de las cosas, customizando ropa que se encuentra en catálogos virtuales, a través de probadores que se encuentran en las páginas web de las empresas, creando versiones en 3D de los clientes, para ver qué tal les puede sentar la ropa, cambiando los hábitos de compra, generando experiencias de consumo e involucrando/incitando a los consumidores a compartir sus gustos, compras o gustos de sus familiares. Los consumidores son “trackeados”, seguidos, perseguidos y vigilados en grandes almacenes para optimizar stocks, inversiones en marketing y moda: Véase aquí y aquí
Y lo mismo ocurre en el mundo de la Música, en la que se predicen los gustos musicales.
En este sentido, utilizando el big data y la información obtenida a través de Google se puede llegar a predecir 100% el comportamiento humano y a través de ello obtener información para vehículos autónomos, sin conductor, y marketing personalizado, seguros escolares, etc, véase en este sentido aquí.  
Y un paso más allá, la inteligencia artificial da lugar a nuevas realidades como robots que entienden tus emociones.

¿Y donde están los límites?

El uso que del Big Data y del IoT se está efectuando tiene dos caras, y la negra es escalofriante, puesto que al compartimentar, segregar, dividir y categorizar el comportamiento de las personas, podemos llegar a convertirnos en dioses equivocados, limitando posibilidades y creando más desigualdades. El cine nos ha dejado buena muestra de ello en películas como Gattaca, Minority Report, Enemigo Público, Blade Runner e Inteligencia Artificial entre otras. 
Por otro lado, ante tanta información, y tan íntima y valiosa, surgen cuestiones respecto a la obtención, el consentimiento, el derecho de información, los derechos arco, la anonimización y la seguridad y protección de dichos datos. Un ejemplo de esta otra cara es que los datos se están convirtiendo en una herramienta poderosa en la educación, y en algunos casos no tan positiva, desde la obtención de datos sobre gustos y tendencias en menores y manipulación de los mismos, cómo en base a algoritmos las escuelas están utilizando datos para colocar a los estudiantes no sólo en su nivel de aprendizaje adecuado, sino incluso para recomendar y determinar en qué tema deben especializarse. Véase aquí y aquí.

Regulación

La Agencia Española de Protección de Datos ha calificado el big data como “nueva revolución”, “…sin olvidar que esta metodología de tratamiento de datos puede generar grandes beneficios sociales, también ha subrayado que entraña notables riesgos para los derechos de las personas. El big data se emplea principalmente para hacer predicciones, tratando aspectos referentes a qué está ocurriendo o qué va a ocurrir pero no por qué se han producido o van a producir. Con ello se pueden extraer conclusiones sobre individuos, señalar su tendencia a realizar determinadas conductas, o predecir su probabilidad de encontrarse en determinados estados, como situaciones económicas o enfermedades, entrañando un alto riesgo de discriminación”.
En este contexto, el Grupo de trabajo del artículo 29, “WP29”, ha emitido dos dictámenes el 16 de Septiembre del 2014 uno relativo al Big Data y otro al IoT, precisando que no es necesaria una legislación específica en la materia, ya que las Directivas 95/46/CE de Protección de Datos, así como la Directiva 2002/58/CE modificada por la Directiva 2009/136/CE son de directa aplicación en estas materias junto a la ley del Estado miembro en el que se sitúe el establecimiento del responsable si el tratamiento de datos se efectúa en dicho establecimiento. Si el responsable del tratamiento no está en la UE pero hace uso de equipamiento situado en el territorio de un Estado miembro, será también de aplicación la Ley del Estado Miembro. Todos los objetos utilizados para recoger y tratar datos personales para efectuar servicios IoT se consideran, según el Dictamen, como equipamiento, de acuerdo con la Directiva 95/46/CE, y nos referimos tanto a dispositivos propios del servicio como a terminales de los dispositivos de los usuarios (smartphones o tablets).

El WP29 recomienda que:

  • Se aplique el principio de privacidad por diseño y defecto.
  • Se efectúen evaluaciones de impacto en la privacidad (PIA), antes de lanzar nuevas aplicaciones.
  • Se informe debidamente a los usuarios sobre el uso, finalidad de tratamiento de sus datos y sus derechos, y si no se ha hecho, se utilicen los datos anónimamente. Los usuarios deben de poder ejercitar sus derechos Arco, de una manera que sea fácil y asequible.
  • La información  sobre el uso de los datos (artículo 5 LOPD), métodos para solicitar el consentimiento y políticas de consentimiento deben de ser fáciles, agiles, entendibles y adaptadas a los usuarios. Con respecto a los dispositivos y aplicaciones, se les debe de aplicar los criterios del PET (Privacy Enhanced Tecnologies) y deben de ser diseñados teniendo en cuenta la privacidad y así poder informar adecuadamente a los usuarios de los criterios anteriores.
  • Debe de tenerse en cuenta el Dictamen sobre apps del WP29 (Opinion on Smart devices, Febrero 2013).
  • En el caso de que se utilicen datos agregados, las empresas deben borrar los datos brutos inmediatamente y lo antes posible, tras la recogida de los mismos.


Visite nuestra página web: http://www.elzaburu.es/

Buscar

Formulario de suscripcion

Sí, soy humano*

Se ha enviado un mensaje de confirmación; por favor, haga clic en el enlace de confirmación para verificar su suscripción.
El email ya esta en uso
Tienes que escribir un email
Tienes que cliquear el captcha
El captcha no es correcto

Pincha para oir nuestros programas de radio

Archivo