Las recientes revelaciones de Wikileaks sobre las técnicas de la NSA giran en torno a la utilización de la tecnología para espiar a ciudadanos en cualquier lugar mediante el control de sus dispositivos electrónicos para recopilar los datos que van generando. En el primer caso revelado por Snowden se constató como el sistema de inteligencia británico GCHQ pinchó el cable de fibra óptica que une Europea con EEUU para interceptar el flujo de datos entre ambos continentes. Igualmente países como Canadá, Nueva Zelanda, Australia, Alemania, Noruega, Dinamarca, Francia o Rusia y China utilizan técnicas de vigilancia masiva a ciudadanos. Hay que distinguir entre la utilización de la tecnología para espiar a objetivos concretos del espionaje generalizado a todos los ciudadanos mediante técnicas de análisis masivo de datos.
El Big Data es, resumiendo mucho, la utilización de grandes cantidades de datos, analizados con el fin de encontrar correlaciones y realizar análisis. Estas técnicas se utilizan en muchos sectores. Los primeros fueron en astrofísica y genoma y en la actualidad se utilizan para multitud de mejoras de la sociedad, como la ordenación del tráfico, las redes inteligentes de energía, las Smart Cities, estudios de mercado, mejoras en los sistemas sanitarios y en tratamiento de enfermedades y, en lo que nos interesa, para cuestiones de seguridad. Luego la utilidad para la sociedad es evidente. Pero el riesgo también existe. En un reciente estudio sólo con los datos de la factura de teléfono se ha podido saber si una persona iba a morir de un infarto de corazón, si producía drogas o si iba a comprar un arma automática. Pero con los datos de consumo de electricidad se puede saber los hábitos de trabajo o de ocio o cuántos individuos viven en una vivienda. Los peligros para la privacidad son reales.
Los escándalos del espionaje moderno de los Estados impactan porque se ha producido un gran cambio en el paradigma de la vigilancia: se ha pasado de espiar de Estados a Estados a una vigilancia masiva del Estado a los ciudadanos, tanto a los suyos como a los de fuera de sus fronteras, bajo la justificación de la lucha contra la amenaza terrorista y la protección de la seguridad nacional. Y nos hemos encontrado con un entorno nuevo sin regulación. O con poca regulación, los Derechos Fundamentales siguen estando en vigor y el Derecho a la privacidad y el secreto de las telecomunicaciones sigue vigente, tanto a nivel de España como a nivel Europeo, con el Convenio Europeo de Derechos Humanos. Caso diferente es el de Estados Unidos donde no existe un derecho al Habeas Data.
Sin embargo, hoy día, gracias a la cantidad de datos que generamos en nuestra actividad diaria (con nuestros teléfonos móviles enviando datos sin que nos percatemos) y la exposición de información personal (p.e. las fotos abiertas de los perfiles de las redes sociales, que se están utilizando para reconocimiento automatizado de imágenes), este Derecho a la privacidad se ve afectado con mayor facilidad, tanto en el uso civil de datos, por administraciones públicas y empresas, como en su uso en materia de seguridad por Fuerzas y cuerpos de seguridad y ejército. Para el uso civil la Unión Europea ha creado el Reglamento 679/2016 en abril del año pasado, que entrará en vigor y será de obligado cumplimiento para todos los Estados miembros en 2018; mientras que en materia relativa a seguridad, la Directiva 680/2016 tiene que ser implementada en nuestra legislación antes de 2018.
En lo que afecta al Big Data, ambas normativas lo que exigen es la creación de una evaluación de impacto en la privacidad cuando se vayan a utilizar grandes bases de datos. Esta evaluación impone una serie de requisitos de buenas praxis en la utilización de los mismos que va a ser impuesta a todo ente que haga análisis de datos masivos: definir qué datos van a ser necesarios y por cuánto tiempo; medidas de seguridad para proteger los datos; un comité que controle los mecanismos de análisis; auditorías externas y la publicidad de información importante sobre el análisis que se está realizando. En el caso de una mala praxis el Reglamento pide la imposición de sanciones penales para los infractores, pero no así en los casos en que afecte a materias relacionadas con la seguridad.
Hay que pensar que información anonimizada o sin contenido relevante, puesta en conexión con otras bases de datos, también sin información relevante, puede darnos, como la pequeña piedra de un mosaico, una imagen perfectamente clara de la persona. Es por ello que los metadatos, que en principio no aportan información personal, están siendo utilizados por las agencias de seguridad para obtener conocimiento de la actividad de los sospechosos sin necesidad de entrar dentro de sus mensajes, llamadas o agenda de contactos. Por ello la necesidad de una evaluación de impacto en la privacidad (ex ante), y que se adecue a cada análisis, y de un sistema sancionatorio para los atentados a la privacidad más graves mediante penas de prisión. También en los casos de mala utilización por parte de los encargados de la seguridad del Estado.
La prohibición absoluta de este tipo de técnicas es imposible y produciría un retraso económico que ninguna sociedad se puede permitir. Es por ello que la actuación de la Unión Europea es de vital importancia para proteger los Derechos de los ciudadanos europeos como se ha visto en el caso Scherms, en el que se consiguió una modificación radical en el uso de datos europeos por empresas y servicios de seguridad norteamericanos mediante un nuevo acuerdo, el Private Shield.
El sector civil se va a tener que adecuar al Reglamento con gran celeridad. El gran reto es cómo se va a regular la actuación de nuestros servicios de investigación para preservar las libertades básicas de un sistema constitucional y la seguridad. Ya hay estudios que en materia de seguridad se puede conseguir el mismo resultado en la prevención de las amenazas a la seguridad utilizando datos abiertos. No es necesario entrar a destajo en todos los dispositivos y atentar sin limitaciones en los Derechos y libertades de los ciudadanos.
Los ciudadanos han de exigir a sus Gobiernos que haya más trasparencia en la utilización de estas técnicas, que sólo se utilicen datos abiertos protegiendo los datos de la esfera más íntima de las personas, separación clara de la utilización militar de la utilización judicial de los mismos (en el primer caso hemos de limitar normativamente su uso y en el segundo debemos asegurarnos que intervenga un juez que garantice el respeto de los Derecho Fundamentales).
También es necesario que por parte del Estado se tenga la confianza de los ciudadanos de que no se van a utilizar las vulnerabilidades de los dispositivos electrónicos y que se van a intentar buscar soluciones. Mientras tanto sólo conseguiremos que aumente la desconfianza de los ciudadanos ante los servicios de seguridad y de los Gobiernos, lo cual, históricamente, tiene repercusiones muy negativas. Por encima de los intereses de los Estados, la Unión Europea es la única institución que está intentando crear unos estándares internacionales de protección para los ciudadanos como se ha podido ver con el acuerdo con Estados Unidos, el Private Shield, que Trump ya ha expresado su intención de derogarlo. El combate continúa.
