El Instituto Nacional de Estadística(INE) pactó con tres operadoras (Telefónica, Vodafone y Orange) la cesión, durante cuatro días laborables consecutivos de noviembre, del 18 y al 21, de los datos anónimos de los móviles de sus abonados en áreas de 15.000 habitantes de media. Con esta medida, el INE persigue analizar los desplazamientos habituales de la población para conocer en dónde se deben prestar los servicios públicos y reforzar las infraestructuras.
El anuncio de este “préstamo” ha creado controversia tanto entre los usuarios como entre asociaciones de consumidores y agencias de protección de datos. Y es que este tema pone en entredicho la siguiente cuestión: ¿se va a respetar plenamente el anonimato y la privacidad de los usuarios? Las operadoras aseguraron que los datos son “anonimizados” y que se respeta la ley de protección de datos. Pero el asunto no está tan claro.
Las operadoras aseguraron que los datos son “anonimizados” y que se respeta la ley de protección de datos
Según Sergio Maldonado, CEO de PrivacyCloud, los datos que se van a ceder no son anónimos. El directivo recalca que una cosa es el dato que se ha recabado (el que fluye entre las operadoras y el INE) y otra cómo se use o el trate el mismo. Y es que, el problema surge cuando combinas varias fuentes de información dando lugar a lo que se denomina como datos seudónimos: un dato que por sí no es capaz de identificar al individuo, pero que, en combinación con otras fuentes de información, sí. En otras palabras, varias fuentes “anónimas” combinadas entre sí, arrojan datos personales (por ejemplo, si mezclamos parámetros geoespaciales con variables como el sexo del individuo o su edad).
Protegido por la Ley
La anonimización se entiende como el proceso por el cual los datos se eliminan de manera irreversible. El dato personal se disociará por completo, por lo que el sujeto no podrá ser identificado. Desde ese momento, su tratamiento no entraría dentro del ámbito del Reglamento General de Protección de Datos. Como consecuencia, el responsable del tratamiento podrá hacer uso de esa información ya que no afecta a la privacidad del individuo. Al ser imposible conocer su identidad, esa información pasa a ser un dato empresarial en lugar de personal.
La seudonimización no permite la identificación directa del sujeto, pero ésta se puede averiguar a través de informaciones adicionales
Sin embargo, al intercambiarse esos datos se plantea el nuevo escenario de la seudonimización que la RGPD o GDPR (por sus siglas en inglés) recoge en el artículo 4.5): “aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.” Como hemos indicado más arriba, no permite la identificación directa del sujeto, pero ésta se puede averiguar a través de informaciones adicionales.
“Hemos sido muy inocentes en general al cederlos, aceptando hacerlo porque creíamos que eran anónimos y no aplicaba la normativa. Si entendemos que no lo son, debería haber una base legal para su tratamiento y para facilitarlos a terceros que lo justifique o un consentimiento expreso”, explica a Redes&Telecom. Y una vez que se aplica la ley, nacen los derechos de usuario como al acceso a rectificación.
Maldonado asegura que no se ha informado debidamente al usuario y que lo que importa es lo que el Instituto haga con esa información. “Cuando el INE pide el dato, con los parámetros que va a usar, podría llegarse al anonimato de esa información, aunque sería a posteriori, el problema es que el dato original no es anónimo, viene viciado de partida”. Ya en los contratos de adhesión que se firman con las operadoras ellas identifican tal dato como anónimo y que podrán utilizarlo para determinados fines.
Vodafone es la única operadora en España que ha permitido al usuario hacer opt-out
Proteger la privacidad
Ante esta situación, se podría plantear la siguiente cuestión: ¿qué pueden hacer los usuarios para proteger la privacidad de sus datos? Maldonado indica que, en primer lugar, pedirle a las operadoras qué datos tienen sobre nosotros y preguntarles a quiénes se los están cediendo. En este sentido, confirma que Vodafone es la única en España que ha permitido al usuario hacer opt-out, es decir, que renuncies a que se comparta tu dato “anónimo”. Esta opción tampoco es la ideal, pero, por lo menos, tienes la posibilidad de hacer algo al respecto. a los usuarios decidir que no quiere que se utilicen sus datos para terceros.