Reflexiones sobre movilidad y privacidad
Según la ONU, el 68% de la población mundial para el año 2050, vivirá en entornos urbanos. En Europa se estima que para dicho momento un 84% de su población será urbana. En un país como España su población urbana pasaría de alrededor de ochenta a ochenta y ocho millones de personas. Ello podría suponer que ciudades como Barcelona o Madrid se encuentren con una población cercana a los siete u ocho millones de habitantes. Esta creciente masificación y concentración de la población en las grandes urbes, unido a los evidentes problemas de la calidad del aire, ruido, accidentes, consumo de energía, entre otras cuestiones, obligan a replantearse el modelo actual de movilidad si queremos aliviar los problemas de congestión del tráfico, reducir las emisiones contaminantes, tener una movilidad más limpia y eficiente y, sobre todo, orientada a los ciudadanos.
Para ello, resulta absolutamente esencial el papel de los datos y la toma de decisiones en base a los mismos. El sector de la movilidad (tanto para el diseño de las políticas públicas como para el desarrollo de nuevos negocios) se encuentra, indefectiblemente, ligado a vehículos conectados y autónomos, infraestructuras conectadas, nuevas tecnologías como 5G, blockchain, el uso actual de la inteligencia artificial, ciudades sensorizadas, plataformas digitales como servicio, sistemas inteligentes de transporte, uso de drones, etc.; y por lo tanto a la recopilación, análisis, estudio y utilización de datos de todo tipo (personales o no).
Y esta parece ser la hoja de ruta a seguir tanto en laEstrategia Europea de datos (que busca convertir a la UE en el líder de una sociedad impulsada por datos) y la Estrategia Europea de movilidad sostenible e inteligente (que ya prevé la futura construcción de un espacio común europeo de datos referidos a la movilidad); como en la Estrategia de Movilidad Segura, Sostenible y Conectada 2030 aprobada por el Gobierno, de acuerdo con los Objetivos de Desarrollo Sostenible (ODS) de la Agenda 2030, y el reciente Anteproyecto de Ley de movilidad sostenible (que prevé, entre otras cuestiones, la creación de un Sistema Nacional de Movilidad de Sostenible, un Espacio de Datos Integrado de Movilidad, “Sanboxes” de movilidad y la promoción de los “open data” y la provisión por parte de los operadores y proveedores de movilidad de determinados datos de transporte y movilidad de forma gratuita, no discriminatoria, actualizada y en modo estandarizado, accesible e interoperable).
Sin embargo, no podemos olvidar que, a pesar de los más que evidentes beneficios y utilidades[1] que pueden conseguirse (además de otras cuestiones no menos importantes, como la gobernanza del modelo de transporte o movilidad, la generación de confianza en los agentes implicados, los espacios compartidos de datos u open data, interoperabilidad entre sistemas y plataformas, etc., que excederían con mucho el propósito de un post como el presente); la utilización de las referidas tecnologías y las que puedan aparecer en el futuro inmediato, junto a la recolección, análisis, estudio y uso masivo de datos hacen surgir nuevos riesgos y a la vez nuevos retos, especialmente en lo referente a la privacidad y al derecho fundamental a la protección de datos personales de los ciudadanos.
Un ejemplo de ello es la nueva tendencia, casi obligada podríamos decir, de los últimos años hacia un cambio del actual modelo de movilidad; surgiendo así, al menos en las grandes urbes, el nuevo paradigma del MaaS (mobility as a service) y las plataformas multimodales de movilidad potenciando y/o promoviendo un cambio en los hábitos de consumo del ciudadano transitando de un modelo de movilidad basado en la propiedad privada hacia un modelo basado en el servicio y la experiencia compartida. La idea del MaaS no es otra que ofrecer una única interfaz al ciudadano-usuario donde pueda estudiar, comparar, planificar, elegir, reservar y pagar su viaje (ver rutas disponibles, incluso en tiempo real, horarios, tarifas, elegir medio o medios de transporte, elegir operador, realizar el pago, u optar por servicios adicionales, especialmente los basados en la ubicación, etc.). Pero también el sector público, y especialmente las entidades locales, podría verse beneficiados y mejorar las políticas de transporte y movilidad, la congestión del tráfico, la reducción de la huella de carbono, la definición y gestión de zonas de bajas emisiones, la gestión y recaudación de multas ante incumplimientos, crear nuevas infraestructuras y rutas de transporte según la demanda, etc.
El principal conjunto o tipo de datos personales que resultan esenciales para los proveedores MaaS son los datos de ubicación o referidos a la posición geográfica o geoespacial de una persona. Cuando se utilizan cualesquiera servicios en el entorno MaaS, se va dejando un “rastro digital del viaje” y de los movimientos realizados (punto de partida, punto de llegada, dispositivo elegido, medio o medios de transporte empleados, duración, velocidad, ruta elegida, fecha, hora, lugares visitados, donde se compra, donde se come, etc.). Incluso, en algunos casos también pueden seguir recolectándose algunos datos, aunque se apague o desconecte el dispositivo o se esté ejecutando la aplicación en segundo plano.
Además, ese “rastro digital del viaje” permite obtener patrones de movimiento y comportamiento de los ciudadanos que incluso, en algunos casos, podría llevar a obtener datos personales de carácter especial relativos a la salud (en función de la frecuencia de visitas a determinadas zonas, áreas o departamentos de determinados hospitales), orientación sexual (teniendo en cuenta la frecuencia de viajes a determinadas zonas de una ciudad, bares, restaurantes, etc.) o ideología (derivados de la frecuencia de viajes a determinados lugares, asociaciones, etc.). Si, además, esta información de “rastro digital del viaje” se cruzara con otras fuentes de información, como, por ejemplo, la derivada de distintas redes sociales, la precisión y exactitud del patrón de comportamiento aumenta exponencialmente. En cualquier caso, y con independencia del nivel de precisión, exactitud o calidad de los datos, bien a partir de datos individualmente considerados bien a partir de la información deducida del conjunto de estos, es posible llegar a identificar directa o indirectamente a una persona. “La relevancia de estos datos, también en lo jurídico, está en que no solo dicen dónde está la persona, también dicen quién es la persona” [2].
Por otra parte, otro conjunto o tipo de datos que podrían recopilarse por los proveedores MaaS o de cualesquiera plataformas multimodales de movilidad podrían ser, dependiendo de los casos de negocio y/o finalidades de uso de cada proveedor: datos identificativos o de registro, método/os de pago, datos del propio dispositivo (bluetooth, dirección IP, operador móvil, sistema operativo, navegador, etc.), uso de cookies, datos de diferentes sensores móviles (como giroscopios, osciloscopios, acelerómetros, etc.), información sobre llamadas y mensajes de texto entre la plataforma y el usuario y/o diferentes operadores, token de inicio de sesión con redes sociales (que permite acceder a determinada información que el usuario publica en dichas redes sociales), etcétera.
Los ecosistemas MaaS son sistemas complejos donde para poner a disposición del usuario final los diferentes servicios de movilidad, además de los tradicionales operadores de movilidad, tanto públicos como privados, se unen ahora nuevos intermediarios entre los operadores tradicionales y el usuario final como son los agregadores de datos, los integradores MaaS (y de los diferentes servicios de movilidad disponibles) y los operadores MaaS (que gestionan, facilitan la plataforma, aplicación o interfaz con el usuario final), pudiendo cada uno de ellos tener un rol diferenciado o mezclarse diversos roles en uno mismo. Resulta evidente que la “propiedad” y el acceso a los “datos” puede generar una posición de dominio en el mercado, pero también es verdad que ese nuevo modelo de movilidad no tendrá éxito sino es con la colaboración público-privada, privada-privada, y publica-publica; estableciendo y definiendo modelos justos y equitativos de intercambio de datos que incentiven y favorezcan la inversión y colaboración de todos los agentes y a la vez redunden en el beneficio e interés público y sean respetuosos, entre otros, con él derecho a la privacidad de los ciudadanos.
En este nuevo escenario, una magnífica herramienta que ayudaría a garantizar el derecho fundamental a la protección de datos personales, y, por ende, la libertad de los ciudadanos; sería, en mi opinión, las evaluaciones de impacto en protección de datos (conocidas también por su acrónimo inglés “PIA”-Privacy Impact Assesment-), y reguladas en art. 35 RGPD. Ello permitiría, en primer lugar, contar con una descripción de los tratamientos de datos personales y su contexto (es decir, una descripción sistemática de las operaciones, finalidades del tratamiento- y/o de los múltiples tratamientos-, beneficios obtenidos, delimitación clara de roles- responsables/encargados/ corresponsables del tratamiento, esencial en un ecosistema MaaS-, tipos de datos, intercambios o cesiones de datos entre diferentes agentes públicos y/o privados). En segundo lugar, analizar el ciclo completo de vida de dichos datos (recolección, uso, almacenamiento, cesión, conservación, etc.). Y, en tercer lugar, identificar y gestionar adecuadamente los riesgos asociados al uso y tratamiento de los datos personales aplicando controles, medidas y garantías adicionales, en su caso, para reducir, mitigar o controlar dichos riesgos.
Otra de las herramientas claves (junto con la minimización de los datos, el cifrado, o la transparencia) en aras a la protección de la privacidad, sería el uso de los procesos de “anonimización” de los datos, como sucede en el sector público en materia de reutilización de la información pública y los “open data”. Ante la gran cantidad de intervinientes o agentes, públicos y privados, en estos ecosistemas con diversidad de intereses, negocios, y competencias no siempre será necesario el uso de información personal. Por ejemplo, pudiera resultar que un determinado operador u operadores públicos o privados necesitaran compartir determinada información para el análisis y la mejora o eficiencia del alumbrado publico de una ciudad, o para el control de emisiones contaminantes y zonas de bajas emisiones, o para la realización de estudios o investigaciones para la futura creación o mejora de carriles- bici, etc. En principio, para cualquiera de estas finalidades no parece resultar necesaria el uso de información personal y podría procederse a la “anonimización” de la misma antes de proceder a su compartición o uso. Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales, sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, incluirse como medida adicional o ser objeto una evaluación de impacto (art. 35 RGPD). En cualquier caso, resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen), como por ejemplo sucede con el “rastro digital del viaje” que hemos visto con anterioridad.
Sin duda, estas y otras herramientas ayudarían a garantizar y proteger la privacidad de los ciudadanos (aparte de otras cuestiones como definir o aclarar los roles y responsabilidades de cada uno de los agentes que intervienen en el ecosistema MaaS). Pero, además, si se impulsara o promoviese su uso y generalización, así como la transparencia y la publicidad de dichas “PIA”-Privacy Impact Assesment-, o al menos, un resumen ejecutivo de las mismas, especialmente cuando interviniera un agente público; ello generaría o impulsaría la confianza necesaria en el ciudadano para ese cambio de modelo y uso que este nuevo paradigma necesita.
En mi opinión, RGPD es y debe seguir siendo la piedra angular de la normativa europea en materia de protección de datos personales y de su libre circulación en el espacio económico europeo. Y ello, porque es en dicha norma (con un alcance general y directamente aplicable en todos los países del EEE y tanto al sector público como privado) donde se contienen las bases, las pautas y los principios generales de utilización de los datos personales en cualesquiera ámbitos y sectores. Esto no es incompatible con la posible existencia de normativas específicas o de desarrollo, de carácter sectorial o particular que desarrollen aspectos particulares de sectores determinados o ámbitos específicos o tecnologías particulares presentes o futuras permitiendo y favoreciendo la innovación, la competitividad, la compartición de datos, la reutilización de la información pública y, en definitiva, el desarrollo económico y social.
En este sentido, además de resultar tremendamente interesante seguir de cerca, por las cuestiones de fondo que regula, el recorrido que tendrá la reciente propuesta de la Comisión Europea sobre un Reglamente del Parlamento Europeo de 23 de febrero de 2022 sobre “normas armonizadas sobre el acceso justo a los datos y su uso”, denominado “Ley de Datos” o “Data Act”, es que en su considerando 7 ya señala que “(…) El presente Reglamento complementa y se entiende sin perjuicio de la legislación de la Unión sobre protección de datos y privacidad, y en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. Ninguna disposición de este Reglamento debe ser aplicada o interpretada de manera que disminuya o limite el derecho a la protección de datos personales o el derecho a la privacidad y confidencialidad de las comunicaciones (…)”.
Aunque es cierto que en muchas ocasiones, y por diversos motivos o circunstancias que no vienen al caso, no resulta fácil de aplicar y llevar a la práctica el RGPD; no es menos cierto que han sido muchos los esfuerzos y los recursos destinados por la gran mayoría de organizaciones, tanto públicas como privadas, para adaptarse y cumplir con el modelo establecido por RGPD promoviendo un auténtico cambio cultural, en la forma de gestionar, tratar y utilizar la información de carácter personal que está redundando en beneficio de los ciudadanos (como clientes, ciudadanos, administrados, proveedores, usuarios, empleados, interesados, etc.).
Debe seguir existiendo un referente, un vértice geodésico europeo de datos personales, una norma básica de carácter general, directamente aplicable en todos los estados miembros que marque y establezca, de manera transversal, las líneas generales y las pautas de actuación y de uso de los datos personales, y esa norma es RGPD. Sin duda alguna, toda crítica constructiva será bienvenida porque no hay nada perfecto ni tampoco inamovible y todo es mejorable, máxime cuando lo que está en juego es la innovación, la economía y el propio desarrollo económico y social en aras a la consecución del bien común; pero cualquier cambio de estrategia en este sentido, supondría, en mi opinión, un retroceso en todo lo conseguido hasta ahora, un gran paso atrás y una perdida irrecuperable en términos de privacidad para los ciudadanos europeos.
A pesar de que no será el único, en el sector de la movilidad los profesionales dedicados al cumplimiento y la privacidad tienen un gran reto por delante, pudiendo aportar un enfoque proactivo en las diferentes organizaciones públicas y privadas, donde cada vez más las decisiones se van tomando en base al análisis de grandes cantidades de datos; para aportar soluciones imaginativas y creativas que favorezcan la colaboración público-privada, la innovación y el desarrollo de nuevos enfoques, soluciones o negocios, que promuevan, mejoren e impulsen el derecho a la movilidad de los ciudadanos pero que a la vez sean respetuosas con el derecho a la privacidad de las personas.
Oscar A. Sánchez Albarrán
Delegado de Protección de Datos, Autopistas.
Documentación o fuentes consultadas:
- OPEN DATA INSTITUTE, “Personal Data in Transport: exploring a framework for the future (report)” https://theodi.org/article/personal-data-in-transport-exploring-a-framework-for-the-future-report/
- AULAS, Adrien “MaaS and the City: Enabling Privacy by Cooperation” https://aeonlaw.eu/maas-and-the-city-enabling-privacy-by-cooperation/
- MaaS ALLIANCE, “MaaS Monitor: The role of mobility data in successful collaboration between micromobility operators and cities” https://maas-alliance.eu/2020/04/22/maas-monitor-the-role-of-mobility-data-in-successful-collaboration-between-micromobility-operators-and-cities/
- L’estudi La Mobilitat com a Servei (MaaS) a Catalunya: Reptes i Oportunitats. Noviembre de 2021. Disponible en http://www.factual-consulting.com/wp-content/uploads/2021/11/La-Mobilitat-com-a-Servei-MaaS-Catalunya_Reptes-i-Oportunitats.pdf
- CAITLIN D.COTTRILL, “MaaS surveillance: Privacy considerations in mobility as a service”. Transportation Research Part A: Policy and Practice, Volume 131, January 2020, Pages 50-57. https://doi.org/10.1016/j.tra.2019.09.026
- CONSTANTINI, F. “IoT, Intelligent Transport Systems and MaaS (Mobility as a Service)” https://air.uniud.it/retrieve/handle/11390/1146803/294679/Costantini-2019-IoT%2C%20Intelligent%20Transport%20Sys.pdf
Más información:
- https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_es
- https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020DC0789
- https://www.mitma.gob.es/el-ministerio/campanas-de-publicidad/ley-de-movilidad-sostenible-y-financiacion-del-transporte
[1] Puede obtenerse más información en DÍAZ DÍAZ, EFRÉN “20 formas en que se utilizan los datos GIS en los negocios y en la vida cotidiana” https://www.derechogeoespacial.com/uso-de-datos-geoespaciales/ y “Aspectos legales de los datos y servicios geoespaciales y su incidencia en la privacidad”, Ed. Wolters Kluwer, España, 544 pp. ISBN 978-84-18349-29-4
[2] EFRÉN DÍAZ DÍAZ, en https://www.derechogeoespacial.com/los-datos-geoespaciales-nos-dicen-no-solo-donde-esta-la-persona-sino-quien-es/