Aspectos legales a tener en cuenta de las novedosas Smart Cities

La creciente importancia del fenómeno Big Data nos obliga no solo a hablar de las ventajas que supone para la sociedad, sino también de los riesgos que implica en relación con algunos campos como son los de la privacidad y la protección de datos. Es en este sentido, la legislación vigente encuentra interesantes retos en un nuevo contexto en el que el Big Data pasa a ser concepto común para nuestra sociedad.

Cuando hablamos de Big Data nos referimos a un concepto que abarca el tratamiento y análisis de grandes cantidades de datos que, debido a su magnitud, resultan difíciles de tratar con las herramientas tradicionales.

El término Big Data cada vez es más conocido por la sociedad ya que va adquiriendo más fuerza e importancia en distintos ámbitos. Esto es debido a que las comunicaciones denominadas “máquina a máquina” (M2M “machine-to-machine”) y los ciudadanos generan y almacenan diariamente grandes cantidades de datos que cada vez son más difíciles de clasificar y almacenar a través de los métodos tradicionales debido a su volumen, variedad y velocidad, características esenciales de todo proyecto Big Data. La información contenida en estas comunicaciones va más allá de las conversaciones personales, abarcando todas las comunicaciones que se producen en el seno de una arquitectura de sistemas de una compañía, comunicaciones para la realización de pagos con tarjeta de crédito, etc.

De esta forma, las TIC (Tecnologías de la Información y de la Comunicación) se convierten en un elemento esencial para dar respuesta a los retos diarios de las ciudades, permitiéndonos gestionar de forma más eficaz toda la información generada por sus ciudadanos. En otras palabras, el Big Data, pasa a ser la Piedra Rosetta de las Smart Cities o Ciudades Inteligentes, ya que está llamado a permitir una gestión mucho más eficiente de éstas.

Dicho esto, se debe tener en cuenta que el Big Data puede plantear importantes retos en relación con la privacidad y la protección de los datos personales de los individuos. Es por ello, que es imprescindible tener en cuenta algunos aspectos claves a la hora de analizar este concepto y los tratamientos de información que conlleva.

En principio, no será preciso recabar el consentimiento del titular de los datos, si éstos están tratados de manera disociada o anonimizada, es decir, si los datos personales no pueden asociarse a una persona identificada o identificable. La propia Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su reglamento de desarrollo hacen referencia a lo que denominan “procedimiento de disociación”, y además, en dicho reglamento se establece lo que se entiende como dato disociado. La problemática surge alrededor del procedimiento de disociación, en torno al cual, surge la cuestión de si verdaderamente existe un procedimiento de anonimización real de los datos personales relativos a una persona física en el que efectivamente concurra una verdadera disociación de los datos, que no permita de ninguna manera relacionar los datos con una persona.

Sobre esta problemática se han pronunciado la Agencia Española de Protección de Datos y el Grupo de Trabajo del Artículo 29. Este último hace hincapié en la dificultad de crear un conjunto de datos verdaderamente anónimos, mientras que la Agencia Española de Protección de Datos ha considerado que para un procedimiento de disociación pueda ser considerado suficiente será necesario que de la aplicación del mismo resulte imposible re-asociar los datos con un sujeto identificable sin hacer esfuerzos desproporcionados. Por ello los responsables del tratamiento deben tener en cuenta que un conjunto de datos anónimos presentan riesgos residuales para los titulares de los datos.

Se debe tener en cuenta que, a menos que los datos personales sean disociados adecuadamente, la normativa en materia de protección de datos será de completa aplicación a todos los tratamientos que se lleven a cabo sobre los datos personales, desde su recogida hasta su eliminación.

Asi mismo, es importante establecer el modo en el que se van a obtener los datos personales y cómo se va a cumplir con los deberes de información y de obtención del consentimiento. En el caso en que los datos se obtengan directamente del afectado, se deberían establecer mecanismos que permitan informar al mismo de aspectos relativos a la finalidad del tratamiento, el responsable del tratamiento, si los datos personales van a ser cedidos a terceros (indicando la finalidad y la denominación social de los cesionarios) o el modo de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. A esto se debe añadir la necesaria obtención del consentimiento a través de mecanismos que deberán permitir la posterior demostración de que se ha cumplido con dicha obligación. A este respecto, en el caso de las Smart Cities, se debe tener en cuenta que el consentimiento de los sujetos será normalmente necesario en tanto que los tratamientos (por ejemplo con fines analíticos, estadísticos) sobrepasarán la legítima finalidad para la que se hubieran tenido que recabar (por ejemplo prestación de un servicio, venta de un producto).

De la misma manera, se ha de tener en cuenta que si se recaban datos personales especialmente protegidos (por ejemplo relativos a sus hábitos alimenticios, su afiliación sindical, creencias religiosas, ideología, vida sexual) se pueden estar realizando tratamientos que requerirán un nivel alto de seguridad y el consentimiento expreso de los interesados.

Se deben tener en cuenta otros aspectos de la normativa como el principio de calidad de los datos, según el cual los datos deben ser pertinentes y proporcionados para la finalidad para la que fueron recabados, o lo relativo a la adopción de medidas de adecuadas.

A la espera de normativa específica que regule la materia, los responsables de datos que se embarquen en proyectos que impliquen Big Data deberán basarse en la legislación vigente de protección de datos para intentar buscar alternativas a las particularidades de los mismos.