La semana pasada, saltaba la noticia de que el Instituto Nacional de Estadística (INE) pretendía seguir la pista de nuestros móviles durante ocho días para conocer nuestros desplazamientos habituales, lo que generó bastante preocupación y polémica, por los riesgos de vulneración de nuestros derechos y de nuestra privacidad que de ello se podrían derivar. Con estas líneas me gustaría desarrollar algunas ideas que ya adelanté en redes sociales, al hilo de nuestras intervenciones en los medios de comunicación sobre este particular; pero antes de entrar en detalle, creo que es preciso recordar el concepto, tremendamente amplio, de dato personal que predica el Reglamento General de Protección de Datos (RGPD): «toda información sobre una persona física identificada o identificable«.
Para empezar, debemos aclarar que el INE no podrá rastrear ni teléfonos ni personas, ya que los operadores de telefonía móvil que participarían en el proyecto (Movistar, Orange y Vodafone) le facilitarán únicamente información agregada y anónima: así lo aclara el comunicado que publicaron, ante las airadas reacciones de muchos consumidores. Ahora bien, ¿pueden los operadores suministrar esta información al INE?
De entrada, es obvio que estas empresas tienen y usan datos personales (saben quien hay detrás de una línea de forma individualizada), incluida la localización de los terminales, basada en la triangulación de la señal del móvil al conectarse a las antenas de telefonía (quizás les suena el tema, por el caso de Diana Quer). Eso sí, tanto la Ley de Conservación de Datos relativos a las comunicaciones electrónicas y la Ley General de Telecomunicaciones, como el RGPD, establecen férreos mecanismos de control para que no puedan utilizar esta información para cualquier finalidad: limitaciones en los plazos de almacenamiento, necesidad del consentimiento del usuario para utilizarlos con fines comerciales, autorizaciones judiciales…
Sin embargo, todas estas limitaciones no son aplicables cuando los datos se hagan anónimos (dejo aquí el Dictamen del Grupo del Artículo 29 sobre técnicas de anonimización), es decir, cuando resulte imposible conocer qué persona está detrás de cada dato. El considerando 26 del RGPD (uno de mis favoritos en este tema) deja muy clara esta realidad, al afirmar que «los principios de protección de datos no deben aplicarse a la información anónima… inclusive con fines estadísticos o de investigación». Es de lo más lógico, pues si una información que no guarda relación con persona alguna, no se le debe aplicar la norma que protege los datos personales.
Así las cosas, si las operadoras anonimizan bien esa información de forma que no se pueda reidentificar a las personas de las que provienen los datos, y aplican medidas de privacidad desde el diseño adecuadas, no habría problema en que envíen al INE ese tipo de información, pues no supondría riesgo alguno para nuestras libertades.
Cambiando de tercio, el receptor de esa información (en este caso el INE, que ha sido acusado por algunos de espiarnos en nuestras vacaciones) obtendría únicamente información agregada, sin datos personales de ningún tipo, para poder hacer sus estadísticas: sabría, por ejemplo, que el 22,34% de los habitantes de un determinado barrio acuden a las playas de Levante en las vacaciones estivales, y el 15,42% lo hacen a la los Pirineos en invierno. Para ser más gráfico, estamos hablando de este tipo de información.
En resumen, el INE recibiría información agregada no personal; y además, aplicaría medidas para evitar una reidentificación posterior de las personas, como establecimiento de celdas de muy amplias en zonas poco pobladas, exlcuir áreas con menos de 5.000 abonados, establecer una limitación horaria concreta… Un proceso como el descrito no debería generar ningún riesgo para nuestros derechos de protección de datos; siempre y cuando las operadoras cumplan con su parte y anonimicen adecuadamente la información facilitada. Evidentemente, si los datos suministrados permitiesen identificar el itinerario concreto de mi vecino del quinto en sus vacaciones, sí podríamos estar ante una vulneración de la normativa, frente a la cual la Agencia Española de Protección de Datos tendría algo que decir.
Asentado lo anterior, desde un punto de vista personal, me parece fantástico que el Estado aproveche este tipo de información para poder adoptar decisiones basadas en datos completos y fiables. ¡A ver si así aciertan! Las empresas llevan años empleando el big data y la inteligencia de negocio para la toma de decisiones, y no les va mal. Si una operadora de telefonía móvil, gracias a sus estadísticas, puede saber dónde colocar nuevas antenas para mejorar la señal y captar más clientes, ¡cuánto mejor que el Estado haga uso de esas herramientas para mejorar la calidad de vida de los ciudadanos, optimizando el gasto público!
Rebajada considerablemente la alarma del caso, debemos valorar positivamente que los medios de comunicación reaccionen frente a noticias que, potencialmente, podrían afectar a nuestra privacidad y protección de datos. Es todo un hito que una disciplina como esta, prácticamente desconocida para la población, sea portada de periódicos nacionales y ocupe destacados espacios en radio y televisión; algo que demuestra la creciente preocupación de las personas por sus datos y supone un verdadero aviso a las empresas e instituciones para que sean conscientes de esta realidad y se apliquen a la hora de proteger esos derechos.