Entradas

Reflexiones sobre movilidad y privacidad

Según la ONU, el 68% de la población mundial para el año 2050, vivirá  en entornos urbanos. En Europa se estima que para dicho momento un 84% de su población será urbana. En un país como España su población urbana pasaría de alrededor de ochenta a ochenta y ocho millones de personas. Ello podría suponer que ciudades como Barcelona o Madrid se encuentren con una población cercana a los siete u ocho millones de habitantes. Esta creciente masificación y concentración de la población en las grandes urbes, unido a los evidentes problemas de la calidad del aire, ruido, accidentes, consumo de energía, entre otras cuestiones, obligan a replantearse el modelo actual de movilidad si queremos aliviar los problemas de congestión del tráfico, reducir las emisiones contaminantes, tener una movilidad más limpia y eficiente y, sobre todo, orientada a los ciudadanos.

Para ello, resulta absolutamente esencial el papel de los datos y la toma de decisiones en base a los mismos.  El sector de la movilidad (tanto para el diseño de las políticas públicas como para el desarrollo de nuevos negocios) se encuentra, indefectiblemente, ligado a vehículos conectados y autónomos, infraestructuras conectadas, nuevas tecnologías como 5G, blockchain, el uso actual de la inteligencia artificial, ciudades sensorizadas, plataformas digitales como servicio, sistemas inteligentes de transporte, uso de drones, etc.; y por lo tanto a la recopilación, análisis, estudio y utilización de datos de todo tipo (personales o no).

Y esta parece ser la hoja de ruta a seguir tanto en laEstrategia Europea de datos (que busca convertir a la UE en el líder de una sociedad impulsada por datos) y la Estrategia Europea de movilidad sostenible e inteligente (que ya prevé la futura construcción de un espacio común europeo de datos referidos a la movilidad); como en la Estrategia de Movilidad Segura, Sostenible y Conectada 2030 aprobada por el Gobierno, de acuerdo con los Objetivos de Desarrollo Sostenible (ODS) de la Agenda 2030, y el reciente Anteproyecto de Ley de movilidad sostenible (que prevé, entre otras cuestiones, la creación de un Sistema Nacional de Movilidad de Sostenible, un Espacio de Datos Integrado de Movilidad, “Sanboxes” de movilidad y la promoción de los “open data” y la provisión por parte de los operadores y proveedores de movilidad de determinados datos de transporte y movilidad de forma gratuita, no discriminatoria, actualizada y en modo estandarizado, accesible e interoperable).  

Sin embargo, no podemos olvidar que, a pesar de los más que evidentes beneficios y utilidades[1] que pueden conseguirse (además de otras cuestiones no menos importantes, como la gobernanza del modelo de transporte o movilidad, la generación de confianza en los agentes implicados, los espacios compartidos de datos u open data, interoperabilidad entre sistemas y plataformas, etc., que excederían con mucho el propósito de un post como el presente); la utilización de las referidas tecnologías y las que puedan aparecer en el futuro inmediato, junto a la recolección, análisis, estudio y uso masivo de datos hacen surgir nuevos riesgos y a la vez nuevos retos, especialmente en lo referente a la privacidad y al derecho fundamental a la protección de datos personales de los ciudadanos.

Un ejemplo de ello es la nueva tendencia, casi obligada podríamos decir, de los últimos años hacia un cambio del actual modelo de movilidad; surgiendo así, al menos en las grandes urbes, el nuevo paradigma del MaaS (mobility as a service) y las plataformas multimodales de movilidad potenciando y/o promoviendo un cambio en los hábitos de consumo del ciudadano transitando de un modelo de movilidad basado en la propiedad privada hacia un modelo basado en el servicio y la experiencia compartida.  La idea del MaaS no es otra que ofrecer una única interfaz al ciudadano-usuario donde pueda estudiar, comparar, planificar, elegir, reservar y pagar su viaje (ver rutas disponibles, incluso en tiempo real, horarios, tarifas, elegir medio o medios de transporte, elegir operador, realizar el pago, u optar por servicios adicionales, especialmente los basados en la ubicación, etc.). Pero también el sector público, y especialmente las entidades locales, podría verse beneficiados y mejorar las políticas de transporte y movilidad, la congestión del tráfico, la reducción de la huella de carbono, la definición y gestión de zonas de bajas emisiones, la gestión y recaudación de multas ante incumplimientos, crear nuevas infraestructuras y rutas de transporte según la demanda, etc.

El principal conjunto o tipo de datos personales que resultan esenciales para los proveedores MaaS son los datos de ubicación o referidos a la posición geográfica o geoespacial de una persona. Cuando se utilizan cualesquiera servicios en el entorno MaaS, se va dejando un “rastro digital del viaje” y de los movimientos realizados (punto de partida, punto de llegada, dispositivo elegido, medio o medios de transporte empleados, duración, velocidad, ruta elegida, fecha, hora, lugares visitados, donde se compra, donde se come, etc.). Incluso, en algunos casos también pueden seguir recolectándose algunos datos, aunque se apague o desconecte el dispositivo o se esté ejecutando la aplicación en segundo plano.

Además, ese “rastro digital del viaje” permite obtener patrones de movimiento y comportamiento de los ciudadanos que incluso, en algunos casos, podría llevar a obtener datos personales de carácter especial relativos a la salud (en función de la frecuencia de visitas a determinadas zonas, áreas o departamentos de determinados hospitales), orientación sexual (teniendo en cuenta la frecuencia de viajes a determinadas zonas de una ciudad, bares, restaurantes, etc.) o ideología (derivados de la frecuencia de viajes a determinados lugares, asociaciones, etc.). Si, además, esta información de “rastro digital del viaje” se cruzara con otras fuentes de información, como, por ejemplo, la derivada de distintas redes sociales, la precisión y exactitud del patrón de comportamiento aumenta exponencialmente. En cualquier caso, y con independencia del nivel de precisión, exactitud o calidad de los datos, bien a partir de datos individualmente considerados bien a partir de la información deducida del conjunto de estos, es posible llegar a identificar directa o indirectamente a una persona. “La relevancia de estos datos, también en lo jurídico, está en que no solo dicen dónde está la persona, también dicen quién es la persona[2]

Por otra parte, otro conjunto o tipo de datos que podrían recopilarse por los proveedores MaaS o de cualesquiera plataformas multimodales de movilidad podrían ser, dependiendo de los casos de negocio y/o finalidades de uso de cada proveedor: datos identificativos o de registro, método/os de pago, datos del propio dispositivo (bluetooth, dirección IP, operador móvil, sistema operativo, navegador, etc.), uso de cookies, datos de diferentes sensores móviles (como giroscopios, osciloscopios, acelerómetros, etc.), información sobre llamadas y mensajes de texto entre la plataforma y el usuario y/o diferentes operadores, token de inicio de sesión con redes sociales (que permite acceder a determinada información que el usuario publica en dichas redes sociales), etcétera.  

Los ecosistemas MaaS son sistemas complejos donde para poner a disposición del usuario final los diferentes servicios de movilidad, además de los tradicionales operadores de movilidad, tanto públicos como privados, se unen ahora nuevos intermediarios entre los operadores tradicionales y el usuario final como son los agregadores de datos, los integradores MaaS (y de los diferentes servicios de movilidad disponibles) y los operadores MaaS (que gestionan, facilitan la plataforma, aplicación o interfaz con el usuario final), pudiendo cada uno de ellos tener un rol diferenciado o mezclarse diversos roles en uno mismo. Resulta evidente que la “propiedad” y el acceso a los “datos” puede generar una posición de dominio en el mercado, pero también es verdad que ese nuevo modelo de movilidad no tendrá éxito sino es con la colaboración público-privada, privada-privada, y publica-publica; estableciendo y definiendo modelos justos y equitativos de intercambio de datos que incentiven y  favorezcan la inversión  y colaboración de todos los agentes y a la vez redunden en el beneficio e interés público y sean respetuosos, entre otros, con él derecho a la privacidad de los ciudadanos.    

En este nuevo escenario, una magnífica herramienta que ayudaría a garantizar el derecho fundamental a la protección de datos personales, y, por ende, la libertad de los ciudadanos; sería, en mi opinión, las evaluaciones de impacto en protección de datos (conocidas también por su acrónimo inglés “PIA”-Privacy Impact Assesment-), y reguladas en art. 35 RGPD. Ello permitiría, en primer lugar, contar con una descripción de los tratamientos de datos personales y su contexto (es decir, una descripción sistemática de las operaciones, finalidades del tratamiento- y/o de los múltiples tratamientos-, beneficios obtenidos, delimitación clara de roles- responsables/encargados/ corresponsables del tratamiento, esencial en un ecosistema MaaS-, tipos de datos, intercambios o cesiones de datos entre diferentes agentes públicos y/o privados). En segundo lugar, analizar el ciclo completo de vida de dichos datos (recolección, uso, almacenamiento, cesión, conservación, etc.). Y, en tercer lugar, identificar y gestionar adecuadamente los riesgos asociados al uso y tratamiento de los datos personales aplicando controles, medidas y garantías adicionales, en su caso, para reducir, mitigar o controlar dichos riesgos.   

Otra de las herramientas claves (junto con la minimización de los datos, el cifrado, o la transparencia) en aras a la protección de la privacidad, sería el uso de los procesos de “anonimización” de los datos, como sucede en el sector público en materia de reutilización de la información pública y los “open data”. Ante la gran cantidad de intervinientes o agentes, públicos y privados, en estos ecosistemas con diversidad de intereses, negocios, y competencias no siempre será necesario el uso de información personal. Por ejemplo, pudiera resultar que un determinado operador u operadores públicos o privados necesitaran compartir determinada información para el análisis y la mejora o eficiencia del alumbrado publico de una ciudad, o para el control de emisiones contaminantes y zonas de bajas emisiones, o para la realización de estudios o investigaciones para la futura creación o mejora de carriles- bici, etc. En principio, para cualquiera de estas finalidades no parece resultar necesaria el uso de información personal y podría procederse a la “anonimización” de la misma antes de proceder a su compartición o uso. Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales, sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, incluirse como medida adicional o ser objeto una evaluación de impacto (art. 35 RGPD). En cualquier caso, resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen), como por ejemplo sucede con el “rastro digital del viaje” que hemos visto con anterioridad.

Sin duda, estas y otras herramientas ayudarían a garantizar y proteger la privacidad de los ciudadanos (aparte de otras cuestiones como definir o aclarar los roles y responsabilidades de cada uno de los agentes que intervienen en el ecosistema MaaS). Pero, además, si se impulsara o promoviese su uso y generalización, así como la transparencia y la publicidad de dichas “PIA”-Privacy Impact Assesment-, o al menos, un resumen ejecutivo de las mismas, especialmente cuando interviniera un agente público; ello generaría o impulsaría la confianza necesaria en el ciudadano para ese cambio de modelo y uso que este nuevo paradigma necesita.

En mi opinión, RGPD es y debe seguir siendo la piedra angular de la normativa europea en materia de protección de datos personales y de su libre circulación en el espacio económico europeo. Y ello, porque es en dicha norma (con un alcance general y directamente aplicable en todos los países del EEE y tanto al sector público como privado) donde se contienen las bases, las pautas y los principios generales de utilización de los datos personales en cualesquiera ámbitos y sectores. Esto no es incompatible con la posible existencia de normativas específicas o de desarrollo, de carácter sectorial o particular que desarrollen aspectos particulares de sectores determinados o ámbitos específicos o tecnologías particulares presentes o futuras permitiendo y favoreciendo la innovación, la competitividad, la compartición de datos, la reutilización de la información pública  y, en definitiva, el desarrollo económico y social.

En este sentido, además de resultar tremendamente interesante seguir de cerca, por las cuestiones de fondo que regula, el recorrido que tendrá la reciente propuesta de la Comisión Europea sobre un Reglamente del Parlamento Europeo de 23 de febrero de 2022 sobre “normas armonizadas sobre el acceso justo a los datos y su uso”, denominado “Ley de Datos” o “Data Act”, es que en su considerando 7 ya señala que “(…) El presente Reglamento complementa y se entiende sin perjuicio de la legislación de la Unión sobre protección de datos y privacidad, y en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. Ninguna disposición de este Reglamento debe ser aplicada o interpretada de manera que disminuya o limite el derecho a la protección de datos personales o el derecho a la privacidad y confidencialidad de las comunicaciones (…)”.  

Aunque es cierto que en muchas ocasiones, y por diversos motivos o circunstancias que no vienen al caso, no resulta fácil de aplicar y llevar a la práctica el RGPD; no es menos cierto que han sido muchos los esfuerzos y los recursos destinados por la gran mayoría de organizaciones, tanto públicas como privadas, para adaptarse y cumplir con el modelo establecido por RGPD promoviendo un auténtico cambio cultural, en la forma de gestionar, tratar y utilizar la información de carácter personal que está redundando en beneficio de los ciudadanos (como clientes, ciudadanos, administrados, proveedores, usuarios, empleados, interesados, etc.).

Debe seguir existiendo un referente, un vértice geodésico europeo de datos personales, una norma básica de carácter general, directamente aplicable en todos los estados miembros que marque y establezca, de manera transversal, las líneas generales y las pautas de actuación y de uso de los datos personales, y esa norma es RGPD. Sin duda alguna, toda crítica constructiva será bienvenida porque no hay nada perfecto ni tampoco inamovible y todo es mejorable, máxime cuando lo que está en juego es la innovación, la economía y el propio desarrollo económico y social en aras a la consecución del bien común; pero cualquier cambio de estrategia en este sentido, supondría, en mi opinión, un retroceso en todo lo conseguido hasta ahora, un gran paso atrás  y una perdida irrecuperable en términos de privacidad para los ciudadanos europeos.

A pesar de que no será el único, en el sector de la movilidad los profesionales dedicados al cumplimiento y la privacidad tienen un gran reto por delante,  pudiendo aportar un enfoque proactivo en las diferentes organizaciones públicas y privadas, donde cada vez más las decisiones se van tomando en base al análisis de grandes cantidades de datos; para aportar soluciones imaginativas y creativas que favorezcan la colaboración público-privada, la innovación y el desarrollo de nuevos enfoques, soluciones o negocios, que promuevan, mejoren e impulsen el derecho a la movilidad de los ciudadanos pero que a la vez sean respetuosas con el derecho a la privacidad de las personas.

Oscar A. Sánchez Albarrán
Delegado de Protección de Datos, Autopistas.


Documentación o fuentes consultadas:

Más información:


[1] Puede obtenerse más información en DÍAZ DÍAZ, EFRÉN “20 formas en que se utilizan los datos GIS en los negocios y en la vida cotidiana” https://www.derechogeoespacial.com/uso-de-datos-geoespaciales/ y “Aspectos legales de los datos y servicios geoespaciales y su incidencia en la privacidad”, Ed. Wolters Kluwer, España, 544 pp. ISBN 978-84-18349-29-4

[2] EFRÉN DÍAZ DÍAZ, en https://www.derechogeoespacial.com/los-datos-geoespaciales-nos-dicen-no-solo-donde-esta-la-persona-sino-quien-es/

El riesgo de reidentificación en la anonimización de los datos personales

El RGPD determina en su Considerando 26 que los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el Interesado no sea identificable, o deje de serlo. Es decir, que la normativa de protección de datos no sería aplicable ni a la información que sea anónima ni a los datos personales que se hayan convertido en anónimos.

Cada vez es más frecuente la necesidad y uso de datos abiertos (geográficos, medioambientales, meteorológicos, de movilidad, cartográficos, geoespaciales, comerciales, legales, sociales, demográficos, económicos, estadísticos, financieros, etc.) para intentar dar respuesta a los grandes retos que la evolución de la sociedad actual nos plantea y generar beneficios tanto para el sector público como el privado que redunden en mejores servicios para los ciudadanos.

Un claro ejemplo, por desgracia, que demuestra la necesidad, cada vez mayor, del Open Data; ha sido el seguimiento, estudio y evolución de la pandemia mundial por la Covid-19 y los distintos conjuntos de datos publicados por las diferentes administraciones.

A pesar de los indudables beneficios, la publicación de cualesquiera de estos conjuntos de datos y su posterior utilización pueden llegar a afectar a la privacidad de los individuos y al derecho fundamental a la protección de los datos personales. Por ello, resulta frecuente que, dependiendo del proyecto en particular, se proceda a una “anonimización” bien de los datos en origen bien del conjunto de datos a publicar. 

Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales que si está sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, ser objeto de una evaluación de impacto (art. 35 RGPD). Resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen).

En este sentido, el reciente Dictamen (CNS 12/2021) emitido por la Autoridad Catalana de Protección de Datos (APDCAT), ante la consulta de una fundación del sector público, en relación con el desarrollo de un modelo matemático para la prevención de epidemias y pandemias sin generar riesgos para la privacidad de las personas físicas; realiza un detallado examen de la calidad de la anonimización de los datos en origen (por parte delas entidades responsables-) y evalúa los posibles riesgos de una eventual reidentifación de las personas físicas. 

Resulta interesante el análisis que la APDCAT realiza respecto a los Datos del Programa público de analítica de datos para la investigación y la innovación en salud (“padrino”), gestionado por la Agencia de calidad y Evaluación Sanitarias de Cataluña (Aqua); los Datos de la movilidad en España durante el periodo de pandemia por la Covid-19,publicadas por el Ministerio de Transportes, Movilidad y Agenda Urbana (MITMA); y losDatos abiertos del Instituto Nacional de Estadística (INE). En los dos primeros conjuntos de datos (datos de salud y datos de movilidad), exceptuando los datos del socioeconómicos del INE, y a la vista de la información aportada, la APDCAT concluye que no hay garantías suficientes de que la información se ofrezca con niveles de agregación suficientemente amplios.

En el caso de los datos de movilidad, a pesar de ser publicados por el MITMA cuando hay más de 1.000 viajes entre dos áreas (origen y destino), no existe, a juicio de la APDCAT, ningún mecanismo o medida que garantice que dichos datos se ofrecerán en abierto siempre y cuando entre dos áreas haya un número de viajes suficientemente grande que impida la reidentificación de una persona al correlacionar dichos datos con otro conjunto de datos. Y en el caso de los datos de salud, tampoco existen, en opinión de la APDCAT, suficientes garantías de que las agregaciones de datos (especialmente el dato de “número de hospitalizaciones” en relación con otros como “primera PCR positiva”, “media de días hospitalizados”, “rango de edad”, etc.) no se llevan a cabo sobre grupos pequeños de individuos, impidiendo la identificación.

En cualquier caso, y sin entrar en otras consideraciones que excederían con mucho del objeto y propósito de este post, la APDCAT incide en dos cuestiones, a mi juicio fundamentales, no solo para el caso objeto de la consulta sino extrapolables a cualquier proyecto que implique anonimización de datos: Por un lado, la aplicación del principio de minimización de datos del art. 5.1.c) RGPD, especialmente en los caso de “anonimización”; y por otro, buscar o utilizar el máximo nivel de agregación y ante muestra extremadamente reducidas de individuos, enmascarar dichos datos o, incluso, eliminarlos.

Además, como garantías adicionales a tener en cuenta, y extrapolables, en mi opinión, a cualquier otro supuesto, más allá del caso concreto, la propia APDCAT hace mención a determinados compromisos entre los diversos participantes en el proyecto como la confidencialidad, mantener la anonimización, vinculación de la información exclusivamente al proyecto concreto, comunicarse cualquier sospecha de posible reidentificación y determinar un plazo máximo de conservación de los datos.

En definitiva, la APCAT señala que en relación con los procesos de anonimización “(…) no se puede descartar que a partir del cruce de los datosanonimizados a que se refiere la consulta (…) se pudiera acabar identificando personas concretas, por lo que hay que medir, evaluar y gestionar este riesgo de reidentificación adoptando las medidasadecuadas (…) para reducir la probabilidad de reidentificación (…)”.

Sin duda alguna, en mi opinión, uno de los grandes retos para los abogados digitales, vendrá representado por el asesoramiento y ayuda en esos procesos de “anonimización” para poder aportar soluciones y que se adopten las medidas adecuadas que permitan una mitigación, control y supervisión de los riegos de reidentificación; y que a la vez permita disfrutar y beneficiarnos como sociedad de los indudables beneficios del uso y explotación de los datos abiertos, respetando la privacidad de los ciudadanos.

Óscar A. Sánchez
Delegado de Protección de Datos en Abertis Autopistas y Vocal de ENATIC.


Más información: