PROTECCIÓN DE DATOS EN LA ERA DEL BIG DATA: EL DESAFIO ESTÁ LANZADO

A principios de los años 90, el rápido desarrollo de ordenadores con procesadores capaces de proporcionar un mejor rendimiento y una mayor capacidad de almacenamiento, contribuyeron al inicio de la llamada «economía de la información». Los frutos de la sociedad de la información son fácilmente constatados a través de los smartphones, ordenadores y los sistemas de tecnología de la información cada vez más presentes en pequeñas, medianas y grandes empresas (MAYER-SCHÖNBERGER; CUKIER, 2013, p.). Big Data representa una revolución de datos relativamente reciente, que tiene su grandeza confirmada por los números que la acompañan, es de rápido crecimiento exponencial en todo el mundo, con inmensas consecuencias para la sociedad, independientemente de clase social, y que se caracteriza por la recolección y el procesamiento de un gran volumen de datos y la obtención de información a una velocidad casi imposible de imaginar (BAGNOLI, 2016, p.7). Así, tratar de Big Data es enfrentar un diluvio informativo.
El término Big Data se refiere a los conjuntos de datos cuyo tamaño está más allá de la capacidad de una herramienta tradicional de base de datos para capturar, almacenar, gestionar y analizar, representando la próxima frontera para la innovación, la competencia y la productividad. El volumen (gran volumen), la velocidad (rápida generación y procesamiento de datos), la variedad (de datos y fuentes), el valor (patrimonio inmaterial), la veracidad (exactitud) y la validación (comprensión y cumplimiento), o los «6V’s», son virtuosas características acopladas al Big Data (BAGNOLI, 2017, p.397) y que compone su concepto.
La ubicuidad de la recolección de datos presente en la sociedad actual, viabilizada por el constante uso de aparatos conectados a Internet, los menores costos de almacenamiento, el poder cada vez mayor de captación y la capacidad de los ordenadores, estimula la explotación cada vez más amplia de los beneficios proporcionados por Big Data. La diversidad de medios y equipos conectados a Internet es tal que el término «Internet of Things» (IoT) viene siendo sustituido por
«Internet of Everything» (IoE). Se estima que en el año 2020 habrá 30 mil millones de equipos permanentemente conectados a Internet y otros 200 mil millones de equipos intermitentemente conectados, cada uno de ellos produciendo datos (MENDES, 2017, p.22), cuyo procedimiento de extracción de informaciones relevantes al mundo de los negocios o al Estado sería objeto de procesos de identificación, organización, deleción, selección, comprensión, minería, interpretación y almacenamiento de los datos recolectados.
Hay dos características fundamentales inherentes al Big Data que traen grandes desafíos a su legítima explotación. La primera de ellas se debe al hecho de que el análisis de Big Data frecuentemente revela la posibilidad de utilizar los datos recolectados para una finalidad diversa de aquella propuesta inicialmente. La segunda está relacionada con el volumen de los datos recogidos, que no raramente se muestran ampliamente mejores y más valiosos que aquellos encontrados tradicionalmente en bases de datos estructurados (KALYVAS, OVERLY, 2015, p.33). En consecuencia, hay impactos económicos y sociales derivados del Big Data, puesto que viabiliza previsiones sin precedentes sobre la vida privada y desplazan o fortalecen el poder de aquellos que detentan la información (HIJMANS, 2016, p.98). Tales características desafían principios a ser observados en el tratamiento de datos personales y el derecho a la privacidad, que acaban imponiendo límites a la explotación de Big Data como consecuencia de su íntima capacidad de interferir en la efectividad de derechos individuales fundamentales.
El General Data Protection Regulation (GDPR), en vigor en la Comunidad Europea desde el 25 de mayo de 2018, establece en su artículo 5, seis principios básicos para el tratamiento de datos personales, que se traducen en: Lawfulness, Fairness, and Transparency; Purpose Limitation; Data Minimisation; Accuracy; Storage Limitation; Integrity and Confidenciality. Entre otras cuestiones importantes, el principio de la finalidad, previsto en el artículo 5.1 (b) del General Data Protection Regulation (GDPR), indica que los datos personales deben ser «recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines».
Es uno de los grandes obstáculos a ser enfrentados cuando se trata de Big Data. Esto es porque muchas de las herramientas utilizadas en Big Data se basan exactamente en la reunión y vinculación de datos recopilados de las más diversas formas, orígenes, momentos, contextos y para fines diversos muchas veces ni siquiera conocidos en el momento de la recolección de los datos. No raramente, la finalidad o incluso la utilidad de los datos son conocidas apenas después de su recolección y tratamiento, haciendo la observancia de tales principios una tarea bastante difícil de ser completada y quizás contraria a la esencia misma de Big Data.
En Brasil, la Ley 13.709 de 14 de agosto de 2018, también conocida como Ley General de Protección de Datos (LGPD), contó con aportes de la comunidad académica, de la sociedad civil y de representantes del sector privado para su elaboración. Recientemente promulgada por el Presidente de la República, aunque vetados algunos dispositivos constantes en el texto original, la LGPD cambia el escenario jurídico y económico del país de manera significativa. Al igual que en el caso de la legislación europea, la LGPD impone una serie de obligaciones y reglas a ser atendidas por aquellos que pretenden explorar actividades relacionadas con la recolección y tratamiento de los datos personales. Trae disposiciones bastante similares a las previstas en la legislación europea, entre las cuales, los principios a ser observados en las actividades de tratamiento de datos personales, que sean: Finalidad; Adecuación; Necesidad; Libre Acceso; Calidad de los Datos; Transparencia; Seguridad; Prevención; No Discriminación; Responsabilidad y Prestación de Cuentas.
La norma brasileña, en su artículo 52, guarda una cierta similitud con el artículo 83 de la GDPR. La norma brasileña, trae un rol de sanciones a las infracciones cometidas al reglamento, la posibilidad de aplicación de multa simple o diaria de hasta el 2% de la facturación de la persona jurídica de derecho privado, grupo o conglomerado en Brasil en su último ejercicio fiscal, excluidos los tributos, limitándola, en total, a R$ 50.000.000,00 por infracción, además de otras sanciones como la publicidad de la infracción y el bloqueo o eliminación de datos personales. La LGPD establece aún parámetros y criterios para la aplicación de las sanciones, que deben ser proporcionales a la gravedad de la infracción. Tales criterios y parámetros consisten en el análisis de la gravedad y naturaleza de las infracciones y derechos personales afectados; de la buena fe, condición económica y de la ventaja obtenida o pretendida por el infractor y del grado del daño causado. Además, la reincidencia y cooperación del infractor; la adopción reiterada y demostrada de mecanismos y procedimientos de seguridad y capaces de minimizar los daños; la existencia de políticas de cumplimiento y la pronta adopción de medidas correctivas ante el incidente ocurrido, son cuestiones a ser observadas para aplicación de las probables penalidades derivadas de incidentes involucrando datos personales en Brasil.
La promulgación de la Ley General de Protección de Datos brasileña inserta el país en el rol de aquellos que poseen adecuada protección a los datos personales, aunque todavía sea necesario superar un período de vacancia de la ley de 18 meses contados a partir de su publicación oficial para
su efectiva entrada en vigor, prevista para febrero de 2020. Se debe recordar aún que normas previstas en la Constitución Federal, especialmente con respecto a los derechos individuales fundamentales, incluyendo la privacidad, en la legislación de consumo (e.g. Ley 8.078/90; Ley 12.414/2011), en la legislación que regula la internet (e.g. Ley 12.965/2014; Decreto 8.771/2016) también garantizan ciertos límites y respecto a los derechos y garantías fundamentales de los titulares de los datos personales, y deben, por tanto, ser integralmente respetadas.
Siguiendo una tendencia mundial, la regulación de las actividades de tratamiento de datos personales en Brasil traerá mayor seguridad al mercado, exigiendo, sin embargo, una completa adecuación a la LGPD por parte de los agentes económicos interesados en las ventajas obtenidas por el tratamiento de datos personales y en muchos de los modelos de negocios que integran aquello que se ha denominado 4ª Revolución Industrial. Este tratamiento de datos personales, por otra parte, sólo podrá realizarse en las hipótesis previstas en el artículo 7 de la LGPD, entre las que se incluyen el consentimiento, el cumplimiento de la obligación legal, la realización de estudios, el ejercicio regular de los derechos, la protección de la vida y el crédito, la tutela de la salud, el legítimo interés del controlador y para cuestiones específicas, en el caso de la administración pública.
Así, no habiendo dudas en cuanto a las ventajas proporcionadas por el Big Data y por el tratamiento de los datos personales a los agentes económicos para actuación en el mercado y al Estado para el mejor desarrollo de políticas públicas, en lo que se refiere a la protección de datos personales en Brasil, cabe esperar y prepararse para la efectiva entrada en vigor de la Ley General de Protección de Datos, a partir de la cual las actividades involucrando el tratamiento y la explotación de datos personales deberán ser orientadas.