09/04/2018

Privacitat de dades i desenvolupament tecnològic. Un binomi incert

Per Catalans Lliures

Autor: Guillem Palou
Revisió: Albert Torelló

Introducció

El tractament de dades no és una activitat nova, però fins ara havia estat circumscrita a un sector reduït de la societat. Avui en dia, però, la captació de dades afecta, a gran escala, a tots els ciutadans, independentment de l’edat o el grup social: és el conegut big data. A la llum dels recents esdeveniments amb Facebook i Cambridge Analytica, queda palès que la informació personal té el potencial de canviar decisions individuals crítiques, com ara l’orientació al vot. Per aquest motiu, Europa ha modificat per primera vegada les regulacions específiques per al data governance des dels anys noranta. Entenem com a data governance la gestió de les dades que duu a terme qualsevol organització en aspectes com la usabilitat, consistència, integritat i seguretat. A partir d’ara, doncs, les institucions públiques assumeixen un rol especialment important, ja que seran les responsables de controlar les empreses que operin amb dades dels seus ciutadans.

Hi ha dues preocupacions destacades a l’hora d’utilitzar dades personals. La primera és analitzar si es vulneren els drets de les persones envaint la seva privacitat. Per això ja existeixen regulacions de privacitat en la majoria de països. La segona és determinar si amb una política de privacitat restrictiva, com ho és a Europa, s’impedeix tant el progrés tecnològic com la creació de noves empreses que facilitin la competència.

En aquest article analitzarem totes dues qüestions comparant Europa amb els Estats Units (EEUU) i proposarem algunes mesures que es poden adoptar per a millorar la seguretat de les dades dels ciutadans, així com facilitar la introducció de noves tecnologies pel tractament de la informació.

La privacitat a Europa i a EEUU

La General Data Protection Regulation (GDPR) entrarà en vigor a Europa al maig del 2018. Aquestes directius, que no només seran aplicades a països de la Unió Europea sinó que també entraran en vigor al Regne Unit, són un referent mundial pel que fa a privacitat i es preveu que s’acabin aplicant –amb variacions– en altres països. A banda de les penalitzacions per companyies que no compleixin la GDPR i que processen dades de ciutadans europeus, aquestes dades s’hauran d’emmagatzemar de forma segura i poder mostrar, lliurar i esborrar si l’usuari ho desitja. També es limitarà el seu ús de manera estricta, prohibint la presa de decisions automàtiques si no es poden justificar de manera intel·ligible. Aquesta última decisió és controvertida i no exempta de polèmica, per això hi entrarem en detall a la següent secció.

A EEUU, un país pioner del progrés tecnològic, en canvi no existeix cap llei o directiva que reguli la privacitat en termes generals, sinó que existeix una regulació més o menys restrictiva per a cada tipus d’informació. Per a esmentar els tres exemples mes coneguts: la Electronic Communications Privacy Act (ECPA) prohibeix interceptar comunicacions privades, la Fair Credit Reporting Act (FCRA) regula la informació dels consumidors i la Health Insurance Portability and Accountability Act (HIPAA) protegeix l’historial mèdic de cadascun dels ciutadans nord-americans. Tanmateix, aquestes regulacions són molt més laxes que la GDPR i generalment és legal utilitzar les dades sense permís, sempre que s’hagin obtingut legalment.

Degut a la laxitud d’aquestes lleis, companyies americanes com Google o Facebook tenen problemes per operar a la UE, on la política de privacitat de dades es molt més estricta. Veurem que tant la llei americana com l’europea tenen un efecte directe en la tecnologia que les empreses poden utilitzar, i que com més regulat sigui el sector, més lentament s’introdueixen avenços tecnològics en el tractament de la informació.

L’ús de dades

Avui en dia és molt normal sentir a parlar de decisions basades en el big data. Aquest concepte, acreditat per primera vegada a John Mashey el 1998, té tantes accepcions com popularitat. Per aquest estudi, definirem big data com totes aquelles dades generades per un gran nombre d’usuaris de manera massiva i descentralitzada. En aquest cas, descentralitzat és sinònim de distribuït, fent referència al fet que no hi ha un sol punt central de generació d’informació. Donat el gran volum de dades, és relativament assequible identificar patrons per a justificar decisions empresarials com ara recomanar a l’usuari quin article comprar o quina cançó és probable que ens agradi. La següent figura mostra l’evolució prevista del volum de dades al món (1 ZB és igual a 1 bilió de GB):

Figura 1: Volum de dades estimat al món. Font: Scientific Big Data and Digital Earth .

Normalment aquestes dades contenen informació personal dels usuaris i això fa que s’hagin de protegir especialment dels abusos de les empreses privades i de les institucions públiques. Recentment s’han conegut casos de possible incompliment de privacitat, com ara quan Deep Mind (la start-up d’intel·ligència artificial de Google per excel·lència), en un projecte conjunt amb la seguretat social del Regne Unit, va emprar dades de pacients sense el seu consentiment per a millorar la detecció de certes malalties; o quan Uber seguia utilitzant els serveis de geolocalizació després de finalitzar els viatges per a monitoritzar el comportament dels seus usuaris. El cas més recent és l’escàndol de Facebook i Cambridge Analytica, on es van poder aconseguir dades de milions d’usuaris sense el seu explícit consentiment.

La majora d’usos, però, són legítims i ajuden a empreses i institucions a millorar la relació que tenen amb l’usuari final i evitar riscs. Per exemple; la credit score, molt utilitzada a UK i EEUU, és una puntuació que determina si una persona o negoci té capacitat per retornar el seu deute i es calcula utilitzant algunes dades personals. Aquesta puntuació compleix amb funcions tan diverses com concedir hipoteques, atorgar contractes de telèfon i banda ampla o prendre decisions en l’àmbit de les assegurances. El credit score està regulat per la FCRA a EEUU, i pel Consumer Credit Act a UK. En la línia de la GDPR, els usuaris tenen dret a accedir anualment a les dades utilitzades per a calcular la puntuació i sol·licitar esmenes si consideren que és errònia.

Progrés tecnològic

Les lleis de protecció de dades foren creades per protegir els usuaris d’usos il·legítims i evitar els riscos que se’n poguessin derivar. El cert és, però, que la legislació introdueix complexitat i limitacions als sistemes, afectant l’adopció de tecnologies potencialment beneficioses. Per exemple, és comú trobar restriccions als models estadístics que utilitzen les asseguradores per tal que, entre d’altres possibilitats, els reguladors puguin determinar més fàcilment si es fa un ús legítim d’aquestes dades.

A continuació, analitzarem quines són les principals amenaces per les institucions a l’hora de processar les dades així com els seus efectes en certs sectors. De riscos, en podem identificar dos com a més importants:

Vulneració de l’anonimat i la privacitat: El dret a l’anonimat és present a la legislació europea com a dret fonamental. Excepte que sigui per consentiment explícit de l’usuari, una institució que tracta dades no pot identificar persones físiques.

Discriminació: Dues de les més comunes són raça o gènere, però generalment s’anomena discriminació al fet de rebre un tracte diferent degut a característiques pròpies de la persona que no són de lliure elecció.

Tot i que la GDPR conté articles específics per tal de protegir els usuaris d’aquests dos riscos, és molt complicat garantir el seu compliment durant el processat de dades. Els motius de risc d’incompliment són diversos i estan fora de l’anàlisi d’aquest article. La legislació europea també obliga a les institucions a poder explicar a l’usuari com s’han utilitzat les seves dades particulars per a prendre decisions, és l’anomenat right to explanation. Aquest dret estableix que tots els usuaris tenen la potestat de saber el perquè de les decisions que pren un sistema utilitzant les seves dades. Tot i que la llei argumenta que tots els usuaris tenen aquest dret, la legislació és molt complexa i possiblement no aplicable. A més, els usuaris poden demanar la intervenció d’un humà en cas que la decisió sigui automàtica. En aquesta línia, el right to explanation pot provocar dos efectes. En primer lloc, limitar les tècniques que les empreses poden fer servir per la presa de decisions. Segon, provocar que s’hagin d’invertir més recursos en dissenyar els sistemes per tal de satisfer aquestes demandes i, per tant, augmentar els costos de les empreses.

No hem d’oblidar que amb el big data, el volum massiu de dades permet aplicar sistemes més complexos i, per tant, potencialment més precisos i beneficiosos per les persones adequades. A un client al qual potser en primera instància no li concedien una hipoteca, per exemple, un sistema més precís el pot identificar com a client òptim. La realitat és que poder explicar decisions de sistemes automàtics complexos és encara matèria de recerca i, per tant, imprecís, subjectiu i costós. Totes aquestes dificultats no ataquen el problema d’arrel i no eviten amb total certesa que els sistemes de decisió vulnerin l’anonimat o discriminin. En altres paraules, tot i que la GDPR és un pas en la bona direcció, no garanteix que els sistemes de presa de decisions siguin justos i transparents.

En aquest àmbit, entrem en el dilema de confiar en la capacitat regulatòria dels governs (ex-ante) o només actuar quan es detecta mala praxis (ex-post). Donada la complexitat que aquests sistemes poden tenir, creiem que la regulació només s’hauria de fer ex-post, determinant uns criteris de protecció de l’anonimat i de no discriminació fàcils d’avaluar a posteriori. Per exemple, en l’adjudicació d’hipoteques, una de les atribucions del regulador hauria de ser controlar que les persones amb característiques financeres similars reben les mateixes condicions de crèdit, independentment de l’origen ètnic i les dades legalment utilitzades. Per tant, el regulador no hauria d’imposar el procés de decisió, limitant les tecnologies a utilitzar, sinó que hauria d’actuar en els casos en què es vulneren els principis de bones pràctiques esmentats.

Dades i entitats

Atès que Catalunya és part de la UE i que les seves empreses i institucions tracten amb dades de ciutadans europeus, s’haurà de regir pels principis de la GDPR a partir del mes de maig de 2018. Malgrat les restriccions que aquesta comporta, creiem que és important afegir certes puntualitzacions i recomanacions per a les institucions públiques i les persones físiques.

Els governs han de ser responsables de protegir les dades més sensibles dels seus ciutadans (e.g. historial mèdic de la Seguretat Social) i és per això que han de tenir els estàndards més alts de data governance. Una manera d’assegurar que és compleix la GDPR dins del mateix Govern és confiar en l’avaluació en múltiples agències independents.

Les entitats públiques seran responsables de controlar que altres entitats compleixin amb la GDPR, i per tant han de comptar amb un òrgan regulador independent i competent amb coneixements avançats en tecnologies de tractament de la informació. Atès que la tecnologia és un camp molt dinàmic, sovint els governs no són suficientment àgils per adaptar-se. Si la regulació és ex-ante, sorgeixen dos efectes que repercuteixen directament a la introducció d’innovacions tecnològiques. El primer és que la legislació queda obsoleta, desincentivant la recerca en aquest camp. La segona és que, la introducció de major control en els processos i els costos associats, pot suposar un augment de les barreres d’entrada a la lliure competència. La dificultat d’entrar al mercat fa que les empreses existents no tinguin necessitat d’innovar i millorar els seus serveis. Aquest és un tema complex i reservem pel futur un estudi més detallat amb recomanacions pertinents des dels principis de regulació econòmica eficient: necessitat, proporcionalitat i interès general.

Encara que ens centrem en les entitats públiques, també hem de fer èmfasi en els ciutadans i en la seva educació digital. De la mateixa manera que la ciutadania adquireix coneixements financers quan sol·licita la concessió d’hipoteques o assegurances, creiem que els coneixements digitals i sobre privacitat han de ser presents des del moment que s’interactua amb la tecnologia. Fer accessible als usuaris quins són els usos legítims de les seves dades hauria de ser una prioritat d’ara en endavant per a l’educació ciutadana.

Conclusió

En aquest estudi hem analitzat com l’augment en la captació de dades ha dut als estats a impulsar regulacions més restrictives, protegint els drets dels ciutadans. També hem vist que aquestes, segons la seva tipologia, poden crear barreres pel progrés tecnològic i a la competència. Pera quest motiu, creiem que la intervenció dels reguladors no ha de generar restriccions en els processos de tractament de dades, on les mesures a aplicar no compten amb fonaments empírics sòlids i tendeixen a evitar la introducció de noves tecnologies. En canvi, cal centrar els esforços en garantir —a posteriori— que es compleix amb la regulació, proveint d’aquesta manera la llibertat necessària per operar i innovar i facilitant l’adopció de noves idees i la diferenciació entre empreses.

Finalment, l’administració pública i les entitats que gestionen dades han de mostrar la màxima transparència, seguint les bones pràctiques internacionals, amb exemples com el Regne Unit. Si Catalunya vol esdevenir un actor important en la tecnologia de dades a nivell global i estar a l’avantguarda d’aquesta transformació ha de posar en marxa plans per fomentar la transparència en l’ús de dades i educar a la població en aquesta nova revolució.