1. INTRODUCCIÓN
Las nuevas tecnologías se están convirtiendo en un nuevo vehículo social que nos esta llevando hacia un nuevo paradigma como sociedad. Los avances tecnológicos en todos los ámbitos sociales está generando una revolución silenciosa que está introduciendo nuevas modalidades tanto de relación colectiva como individual. Por ello, estos nuevos cambios están dando con un nuevo orden vital que está forjando una nueva forma de vivir y convivir con nuestro entorno. Las nuevas tecnologías nos abren nuevos horizontes, nos generan nuevas inquietudes y nos facilitan nuestras tareas vitales en todos los aspectos de forma cada vez más automatizada.
El nuevo paradigma social del que estamos hablando se denomina sociedad red. La sociedad red se origina en internet como una nueva sociedad digital que expresa los procesos sociales, sus intereses y los valores sociales a través de una serie de herramientas tecnológicas que permiten interactuar tanto de forma individual como entre individuos. La posibilidad de un desarrollo mediante el cambio de las formas de la relación social que no tienen su origen Internet hacia una tecnificación de las mismas se debe a un cambio de paradigma (Castells, 2001). La sociedad red definida jurídicamente de forma sucinta y como luego veremos más detalladamente, es una sociedad cuya estructura social se basa en datos obtenidos a través de sistemas de redes de información que tomando como base estructuras tecnológicas conectadas a la red permiten generar una serie de lazos sociales genéricos y específicos.
Por ello podemos entender que la red en general donde se encuentra internet, el IOT y el IORT son la base de un nuevo paradigma sociotécnico que constituye la base social de la vida de los individuos. La sociedad red es la base de nuevas formas de relación, de nuevas formas de trabajo y de un nuevo sistema de comunicación a todos los niveles (Castells, 2001).
Toda esta sociedad red se basa principalmente en las redes sociales no sólo entendidas como redes de comunicación entre individuos sino también redes sociales automáticas como luego veremos. Por extensión y teniendo en cuenta esto y la implantación cada vez más presente de nuevas tecnologías, hay que analizar, para poder comprender mejor el alcance de la explotación de datos en aplicaciones móviles, el Internet Of Things (IOT) y el Internet Of Robotic Things (IORT). El IOT y el IORT son herramientas que permiten interconectar multitud de servicios físicos y virtuales con usuarios profesionales y particulares que usan dichos servicios para diversos objetivos vinculados.
El IOT y el IORT son dos conceptos con la misma base conceptual pero con desarrollos de hardware y objetivos parcialmente diferentes. El IOT es un “aparato electrónico” bajo un sistema basado en hardware y software que a través de una infraestructura física de servidores tienen como finalidad dar un servicio avanzado. El IOT presta servicios avanzados de interconexión física/virtual (ambivalente al usarse en dos lugares al mismo tiempo, servidores y clientes de forma sincrónica) que conecta dispositivos y personas u otros dispositivos entre si y más personas, con la finalidad de intercambiar de forma interoperable información y comunicaciones de datos automáticamente (Ray, 2016).
Por otro lado, existe un nuevo concepto el IORT. El IORT es la Internet Of Robotic Things, una infraestructura robótica que se nutre de los sistemas de IOT y que gracias a los datos proporcionados por el IOT construye una red de computación de inteligencia artificial interconectado con o hacia una nueva red emergente de IORT que permite realizar tareas autónomas automatizadas en base a unos parámetros u órdenes recibidas a través de la red de IOT (Simoens, Dragone y Saffiotti, 2018). Por ejemplo, el IORT se encuentra en muchas casas con los robot aspiradora, siendo el ejemplo más idóneo que combina con el IOT para funcionar.
Todos estos avances realmente avanzan dentro de un segmento concreto que son las redes sociales. Las redes sociales como luego veremos pueden ser conscientes o automatizadas. No obstante las redes sociales no dejan de ser un sistema de comunicación entre individuos, a través de mensajes directos, fotografías o cualquier otro sistema o modo de comunicación. Todas esas comunicaciones se realizan gracias a plataformas de software que permiten subir información a esas redes de comunicación. Las comunicaciones y datos vertidos en esas redes permiten posteriormente tras un tratamiento obtener muchos datos y aspectos de todo tipo que luego permitirán a las empresas y gobiernos realizar acciones directas sobre usuarios o empresas. El software que se use es el punto clave para realizar el análisis jurídico en el presente capítulo.
La sociedad red ha supuesto el origen de un nuevo tipo de consumidor de redes o usuario que a la vez que se relaciona crea contenidos que pueden interesarle a otros usuarios como “productores de contenido”. El prosumer es ese nuevo tipo de usuario que a la vez que consume contenidos o se comunica con otros individuos produce nuevos contenidos para que otros consuman e interactúen. El prosumer genera sus propios contenidos autoabasteciéndose en muchos casos ante la necesidad de un servicio o producto que no encuentra y por ello comparte con otros usuarios por si es de interés o puede establecer vínculos comerciales (Kotler, 2010).
También no podemos olvidarnos de los datos, pues estos son el eje principal de la sociedad red la cual se basa a través de software que usa herramientas y hardware de IOT e IORT. La capacidad de generación de datos de la sociedad red se encuentra a la sombra de la Ley de Moore. El número total de documentos que se generan cada día en toda la red asciende a un total de 6.356.000.000.000 billones de documentos diarios, solo en documentos sin contar otro tipo de archivos. Por ello, si de media cada archivo o documento contiene una serie de datos y metadatos en una media de unos 30, usados por redes de IOT e IORT y diferentes softwares nos da una cifra de más de 600 mil billones de datos diarios analizados por sistemas de Data Mining basados en el concepto de Big Data (World Internet Users Statistics and 2020 World Population Stats, 2020).
Por ello y en base a todo lo anterior podemos conceptualizar de forma unificada lo expuesto a través de un sólo concepto único denominado “Aplicaciones Móviles” que luego definiremos jurídicamente para poder darle un marco jurídico de referencia para poder asociarle una naturaleza jurídica mensurable de cara a futuros estudios legales. Las aplicaciones móviles y su regulación jurídica son el eje sobre el que pivotan de forma transversal el uso y tratamiento de datos que de los usuarios y por extensión ciudadanos gestionan y explotan las denominadas aplicaciones móviles.
El principal problema de las aplicaciones móviles y la explotación de los datos que recaptan y generan es la protección jurídica de los mismos. La normativa que actualmente regula este ámbito carece de preceptos que regule el Data Mining y el concepto Big Data, así como IOT e IORT. Por ello la carencia de una naturaleza jurídica completa respecto al tratamiento integral real de los datos que a través de las aplicaciones móviles se recaptan es un gran problema que exponencialmente está creciendo. La insuficiente legislación que actualmente se ha reconocido así por parte de algunas comisiones y miembros de la Unión Europea en la materia, está abocando al actual RGPD hacia un absoluto desfase. Las voces que proclaman una reforma profunda del RGPD para que realmente se adapte a las nuevas tecnologías emergentes y actuales están cada vez más difundidas. La falta de regulación coherente y correcta lleva a que exista un clausulado de uso de aplicaciones confuso, parco, complejo e insuficiente. La indefensión de los ciudadanos que usan dichas aplicaciones genera una indefensión en relación a sus derechos que provoca una fuga de datos privados o personales sin control aparente.
Teniendo en cuenta todo lo indicado y partiendo de los diferentes antecedentes mencionados, los objetivos del presente capítulo tienen como intención en su objetivo primero ofrecer los argumentos jurídicos competentes para construir una concepción teórica acerca de como se trata jurídicamente por parte del ordenamiento europeo la protección de datos privados respecto al tratamiento ofrecido para los mismos por parte de aplicaciones móviles y los tratadores de datos responsables de los mismos. Asimismo la intención es ofrecer un enfoque jurídico que permita una mejora legislativa del actual marco normativo europeo en materia de protección de datos que genere en el marco internacional de datos privados y el tratamiento una correcta gestión de los mismos y a los que a estos se le realizan en territorios ajenos a la Unión Europea.
Por ello se resaltará el uso de las aplicaciones móviles y que técnicas y herramientas se usan para recaptar y tratar datos. El análisis se realizará siempre bajo la perspectiva del actual ordenamiento jurídico internacional y la futura vertebración que deberá tener en torno al ordenamiento jurídico europeo y por extensión de sus estados miembros.
Por otro lado, en segundo lugar, se va a analizar la situación actual desglosada en el objetivo primero con el fin de ofrecer una exégesis sucinta de la situación actual legislativa para posteriormente ponerlo todo en perspectiva a los efectos de realizar un análisis en el objetivo segundo desde el punto de vista jurídico obtenido en el objetivo primero respecto a la protección de datos privados o personales y la regulación acerca de la obtención de datos privados o personales a través de aplicaciones móviles. La finalidad del objetivo segundo pasa por analizar las situación legal del objetivo primero en lo que a su marco normativo de referencia se refiere. La situación jurídica de facto nos arroja una conclusión general que en perspectiva a la actual reflexión sobre el tema de ciertos sectores de comisiones de la Unión Europea supondrá un antes y un después respecto a la regulación actual del RGPD y directivas acerca del uso de aplicaciones móviles y captación y generación de datos.
Todo ello, dependiendo del marco teórico de referencia el cual cambia con la regulación actual, debe ser examinado a la luz de la misma para entender como se encuentra ahora representado respecto a las inquietudes y necesidades en la sociedad actual y el eje protector que tiene el derecho respecto a la misma. Asimismo, como hemos visto anteriormente en otros capítulos, se analizará de qué modo afecta a la protección jurídica de dichos datos todo lo expuesto y cuál es la repercusión que tienen estos respecto a su tratamiento versus a la privacidad de los mismos en concurrencia con el derecho natural así como los derechos de usuarios y ciudadanos.
Por ello, en tercer lugar se quiere realizar una vez expuestos los dos objetivos anteriores un análisis de la situación respecto al marco teórico resultante de analizar el tratamiento de datos en aplicaciones móviles y los contratos de uso de las diversas aplicaciones de obligada aceptación para el uso de las aplicaciones indicadas. La pretensión no es otra que localizar los errores actuales y subsanarlos bajo el prisma de un análisis jurídico el cual ayudará al legislador hacia la creación inequívoca de nuevas normas que permitan a aquellas a conseguir su objetivo natural que no es otro que el de proteger desde un punto de vista técnico-jurídico a los ciudadanos modernizando constantemente las normativas jurídicos reguladoras al respecto. Todo ello evidentemente puesto en concordancia con los posibles defectos jurídicos de los que adolezca de nacimiento una regulación tan cartesiana como el RGPD y tomando como marco jurídico de referencia la materia abordada en el presente análisis. El problema a explicar radica en la gestión que arrastran las normativas actuales, normativas tras normativa y más ahora que se deba usar un marco teórico obsoleto y bajo un paradigma obsoleto también en su fundamentación de base y por ende el actual riesgo jurídico que corren los ciudadanos respecto a la custodia, tratamiento y finalidad de sus datos en concurrencia con los diferentes derechos que les amparan a los indicados ciudadanos.
Asimismo, para finalizar como último objetivo, se va a realizar una labor de análisis global a modo de conclusiones con el fin de localizar las posibles incongruencias entre el marco teórico actual, el nuevo marco teórico propuesto y el factor de riesgo existente respecto a la génesis principal que es el ámbito de aplicación de la protección de datos privados de los ciudadanos versus el uso de aplicaciones móviles, y una sociedad red integrada con IOT e IORT. Todo el análisis se realizará bajo una perspectiva jurídico-proyectista y con una pretensión básica de que todo marco teórico debe brindar una univocidad doctrinal que permita a través del principio de refutación consolidar el paradigma científico elaborado con el fin de conseguir generar una normativa lo más acorde a la realidad en materia de tratamiento de datos privados. Tras realizar dicho análisis, se terminará concluyendo cual es la realidad jurídica de todo ello y la situación actual teniendo en cuenta el auge en materia de tratamiento de datos privados de las nuevas tecnologías, el Data Mining y como todo ello convirtiéndose en piezas claves del nuevo futuro social mundial se enmarcan dentro del nuevo marco teórico que debe dar respuesta a todos los restos actuales y vertebrar el futuro de la explotación de datos privados.
Por ello, la metodología empleada para el presente capítulo es una metodología basada en la investigación analítica. Por ello, el desarrollo que se va a presentar a continuación se basa en una investigación jurídico-proyectista con naturaleza propositiva y bajo un sistema que emplea fundamentalmente un método inductivo-comprensivo con diferentes momentos en los que se usará una metodología hipotético-deductiva para la exposición del nuevo marco teórico acorde a la propuesta teniendo en cuenta la respuesta al paradigma actual. Asimismo, se propondrá la ejecución de un análisis metodológico proponga un nuevo paradigma jurídico al amparo de un análisis de los datos respecto a la génesis teorética en perspectiva al objetivo a proteger que no es otro que poder observar el nivel real de protección jurídica de los datos de las personas y la posible causa de los déficit protectores actuales teniendo en cuenta los marcos teóricos debatidos respecto el uso de IOT e IORT teniendo como punto de enlace con sus usuarios a las aplicaciones móviles.
El ordenamiento jurídico europeo en lo que a aplicaciones móviles respecta es bastante parco y conciso, definiendo un marco regulatorio parco y estéril respecto al panorama tecnológico actual. La regulación en materia de protección de datos privados o personales, ha evolucionado de forma desigual desde que se inició hace muchos años. La hieraticidad de la tecnología al principio de la regulación jurídica en referencia al campo de la protección de datos permitía que la actualización del marco normativo no fuera necesaria de forma constante. El legislador se podía permitir licencias respecto a la actualización, pero como veremos la actual evolución acelerada en lo que muchos denominan cuarta revolución industrial nos ofrece un panorama en el que la legislación debe aprender a marcar un sistema de constante actualización normativa ágil y sencillo.
2. CONCEPTOS
A continuación, se van a definir una serie de conceptos clave necesarios para contextualizar el análisis jurídico de la problemática presentada y, por ello, necesitamos definir desde un punto de vista jurídico dichos conceptos. La definición de los próximos conceptos nos permitirá interpretar y entender de forma más correcta la cuestión introducida de forma previa. Posteriormente se analizarán dichos conceptos estrechamente entrelazados entre sí para analizarlos respecto la normativa actual y la problemática jurídica detectada en el marco normativo de la Unión Europea. La finalidad es analizar posteriormente cuales pueden ser sus posibles consecuencias. Asimismo se va a realizar una labor de análisis que permita ejecutar unas conclusiones acerca del estado de la cuestión planteada.
Por ello vamos a definir los siguientes conceptos:
- Sociedad Red
- IOT e IORT
- Definición jurídica de aplicaciones móviles
- Data Mining
- GDPR
En primer lugar, necesitamos definir que es Sociedad Red desde un punto de vista jurídico y dentro de ellas los subconceptos de Prosumer y Redes Sociales Automatizadas. La sociedad red es una sociedad cuya estructura social se basa en datos obtenidos a través de sistemas de redes de información que tomando como base estructuras tecnológicas conectadas a la red permiten generar una serie de lazos sociales genéricos y específicos. La sociedad red usa la tecnología como método de comunicación entre los integrantes en dicho sistema. El actual sistema social es un sistema en transición hacia una sociedad red, donde los usos sociales más importantes se encuentran delimitados por los usos de la sociedad red.
El subconcepto prosumer según Alvin Toffler se crea en la era post-industrial y supone un reemplazo al concepto de consumidor clásico. El prosumer es un consumidor que algunos de los productos o servicios que necesita para su vida diaria los crea el mismo ante la falta de ellos según sus necesidades. A su vez el prosumer consume lo generado por otros prosumer o la industria para posteriormente convertirlo en contenido autogenerado y así cerrar el círculo. (Kotler, 2009)
Por lo que respecta a las redes sociales automatizadas son aquellas en las que una de las principales partes intervinientes no son humanas o tienen parte de su contenido automatizado. El ejemplo más claro lo tendríamos en aplicaciones como Discord cada vez con más usuarios, o bots en redes que generan corrientes de opinión recabando datos de los que interactúan sin conocimiento de que son bots o similares.
Por otro lado, nos encontramos con el IOT y el IORT como elementos básicos en el análisis jurídico de la explotación de datos de aplicaciones móviles. El IOT y el IORT son los elementos físicos hardware o software basados en una arquitectura de información que tiene como fundamento el intercambio de bienes y servicios entre todos elementos, equipos, objetos conectados a la red o software. La interconexión en red de todos los objetos cotidianos o sistemas basados en software es lo que permite denominar a esta tecnología, como IOT (Salazar y Silvestre, 2016). Asimismo el IOT es una arquitectura emergente basada en la Internet global. El IOT facilita el intercambio de bienes y servicios entre redes a través de cadenas de suministro de datos a través del intercambio de datos privados de los usuarios que los usan con un alto índice de impacto sobre la seguridad y privacidad de los ciudadanos que usan servicios o productos basados en IOT (Weber, 2010).
El IORT, sin embargo, es un sistema automatizado basado en robótica que tiene como finalidad conseguir una automatización de tareas de mayor o menor complejidad tomando decisiones en base a los datos obtenidos mediante sistemas de IOT, entre otros (Vermesan et als, 2020). El ejemplo más claro de un sistema de IORT serían los robots aspiradores que existen en muchos hogares, son sistemas de IORT basados en sensores de IOT que monitorizan el estado global de la vivienda a tiempo real enviando datos a través de la red tanto para la toma de decisiones como para la mejora del sistema que lo controla. Los datos que remite este IORT, se envían a una empresa privada que es la que los gestiona junto con el resto de datos obtenidos de las unidades vendidas. Por ello tienen recogidos datos de cada hogar, oficina u otro lugar donde ese producto de IORT se está usando.
Las aplicaciones móviles, por otro lado, son el pilar o eje fundamental que debería tener cualquier legislación en materia de protección de datos. La elaboración de una definición jurídica correcta que abarque y defina de forma bien estructurada todo su potencial es necesaria para un posterior desarrollo coherente y protector de cáliz legislativo frente al ciudadano. Por ello, jurídicamente podemos definir como aplicaciones móviles todo aquel software que permita ser instalado en diferentes dispositivos no anclados físicamente a un lugar concreto, que centralice, controle, gestione, envíe, trate, recapte o sirva de clave para remisión a terceros mediante caching o transmisión, información acerca de servicios o productos en los que los datos gestionados sean de un tercero denominado usuario y el tratador, responsable o dueño de esos datos sea una empresa o gobierno. Las aplicaciones móviles están evolucionando hacia verdaderos centros de datos con miles de datos de usuarios que se remiten a terceros sin un férreo o profundo conocimiento de que se envía por parte del usuario del cual se están recaptando dichos datos.
El Data Mining por otro lado lo entendemos definido jurídicamente como una metodología de explotación e interpretación de datos que usa herramientas basadas en IOT e IORT para recaptar datos que posteriormente serán tratados bajo Data Mining con la finalidad de obtener información. La extracción de la citada información y por ello el uso de ésta metodología de explotación de datos es que se extraiga información útil de grandes volúmenes de datos. Para ello Data Mining, KDD o KMD tiene como objetivo principal en su base jurídico analítica la búsqueda de patrones de información partiendo de datos existentes en diferentes bases de datos. Para esta finalidad usa sistemas estadísticos, machine learning o patrones de reconocimiento a través de algoritmos de extracción de información, dividido en siete fases que más adelante se explicarán (Alasadi, 2017). Por ello, si realizamos un análisis de la definición de Data Mining, podemos concluir que es una técnica de carácter exhaustivo, con una serie de pautas, bajo una orden de tendencias y correlaciones cuyo fin es conocer la realidad del dato que analizan o buscan (Kamber, Pei, 2011).
Por último, como concepto final tenemos al GDPR, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). El ámbito objetivo de aplicación del GDPR y que para el caso analizado es el de correcta aplicación, mientras el futuro Reglamento e-Privacy se apruebe, es el descrito en su artículo 1. El artículo 1 indica que el RGPD contiene las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos así como también tiene como objetivo la protección de los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales (RGPD, 2016).
3. ANÁLISIS JURÍDICO DEL DATA MINING EN APLICACIONES MÓVILES.
Las aplicaciones móviles como hemos definido anteriormente son un eje transversal en el actual momento tecnológico que está viviendo nuestra sociedad. Las aplicaciones móviles son centros de tratamiento y recaptación de datos asociados a servicios y productos interconectados entre sí en multitud de ocasiones. Para poder usar dichas aplicaciones, se deben de cumplir una serie de obligaciones legales por parte de la empresa o gobierno que pone a disposición las mismas. El cumplimiento de las obligaciones legales viene impuesto por el GDPR.
Antes de continuar con el análisis jurídico, debemos comprender cuales son las partes que desde un punto de vista tecnológico y jurídico comprende una aplicación móvil y por ello deben ser analizadas individualmente para luego poder contextualizarlo todo en conjunto. Las partes que componen una aplicación móvil a efectos de análisis jurídico son principalmente tres con diferentes subapartados:
- Descarga de la aplicación
- Transporte de datos
- Uso de datos (Data Mining)
En primer lugar, si analizamos jurídicamente la descarga de las aplicaciones móviles para su posterior uso y respecto a los datos que es lo que estamos analizando, empezamos a ver como de forma difusa y con conceptos jurídicos indeterminados resulta escaso encontrar correctamente delimitada la aplicación eficiente del GDPR al uso de datos personales o privados en aplicaciones móviles. El GPDR establece la obligatoriedad de la suscripción de un contrato de prestación de servicios, remunerado o no, en el que se explique cual va a ser el tratamiento de datos personales o privados. La descarga de las aplicaciones móviles independientemente del terminal donde se instale, portátil o teléfono móvil, el GPDR no establece claramente en que momento se tiene que otorgar el consentimiento al contrato de prestación de servicios que se establece con la instalación y uso del aplicativo. Si atendemos al artículo 7 del GDPR sobre condiciones para el consentimiento, el responsable deberá ser capaz de demostrar que el usuario que va a usar el aplicativo consintió el tratamiento de sus datos personales. Asimismo, si ese consentimiento se da en el contexto de una declaración con carácter escrito y que también se refiera a otros asuntos no exclusivos de tratamiento de datos, la solicitud de consentimiento se presentará de forma que se distinga claramente del resto de asuntos, de forma inteligible y de fácil acceso con un uso del lenguaje claro y sencillo.
La realidad independiente de que estamos frente a bastantes conceptos jurídicos indeterminados y con dificultad de aplicación clara al ámbito tecnológico de las aplicaciones móviles es que la norma no establece cuando y donde debe recogerse y de que forma el consentimiento e información de lo que se va a hacer con sus datos al futuro usuario. El GDPR no lo establece en ningún momento, pero tampoco Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). El único documento que nos encontramos que ayude a clarificar la situación es un Dictamen de un grupo de trabajo del Parlamento Europeo del año 2013 sobre la antigua Directiva de Protección de datos Europea, el Dictamen 02/2013 previa al GDPR sobre las aplicaciones de los dispositivos inteligentes; el cual no tiene valor jurídico vinculante alguno.
No obstante a lo anterior, el GDPR establece en sus artículos 12, 13 y 14 el contenido que debe tener este contrato de prestación de servicios en lo que a contenidos de explotación de datos personales o privados se refiere. El GDPR se limita a insistir en el acceso sencillo a visualizar el contenido del contrato. Para el caso de contratos con datos obtenidos directamente del usuario se exige la identidad del responsable y datos de contacto sin establecer que tipos de datos de contacto deben ser. Por otro lado también debe indicar los fines del tratamiento y su base jurídica así como el destinatarios de los datos. Para el caso de contratos con datos no obtenidos por el interesado se añade a lo anterior las categorías de datos personales a obtener.
Teniendo en cuenta todo lo descrito, se evidencia la gran falta de aplicabilidad a la realidad existente en la materia analizada de aplicaciones móviles. Partiendo de la base que ninguna aplicación no solo recapta datos de un tipo sino de los dos para su correcto funcionamiento. Por ello nos encontramos que esto sería un problema. Además nos encontramos con que solo reseñar el concepto categorías de datos personales, es parco, impreciso y viola el mismo espíritu de la norma. El hecho es que no se da protección a datos sino categorías, lo cual puede servir pero es impreciso sin determinar datos concretos. La imprecisión protectora derivada de un lenguaje que se vuelva en conceptos indeterminados nos avoca a un problema profundo, viendo que el GDPR no está preparado para la cuarta revolución industrial, las aplicaciones móviles, el IOT ni el IORT. Por lo que respecta al transporte de datos, debemos tener en cuenta que el GDPR establece en su artículo 1 que se aplicará el GDPR al tratamiento total o parcialmente automatizado o no automatizado de datos personales que tengan como finalidad el tratamiento de alguna forma de datos contenidos en un fichero o datos cuyo destino sea estar incluidos en un fichero.
El matiz entre contenidos o incluidos que establece el legislador es relevante desde un punto de vista jurídico tecnológico para entender la amalgama legislativa y localizar la problemática actual. La relevancia jurídica viene dada porque para el caso de datos "contenidos" se puede considerar cualquier dato o serie de datos contenidos en un fichero y que se transmitan mediante caching como establece la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). La Directiva citada en su artículo 13, indica que el prestador del servicio transmitente de datos (operador de telefonía móvil o wifi) no será responsable del almacenamiento de la información que está transmitiendo. El concepto datos contenidos es un concepto que implica que esos datos son datos no establecidos en un lugar físico directo sino que están en constante movimiento siendo transportados. Por ello la existencia de una exención de responsabilidad al “transportista de los datos” es un problema a la hora de poder considerar como protegidos los datos que transmitimos a través de una aplicación móvil. El mismo problema nos lo encontramos para la segunda acepción con una finalidad concreta o tradicional que sería el de la acepción de “estar incluidos en un fichero” para este caso el artículo 12 de la misma Directiva 2000/31/CE establece la misma exención al volverse a considerar un mero “transportista de los datos” (operador de telefonía o internet) con la misma problemática jurídica localizada.
Por ello, en primer lugar, atendiendo a la génesis de cualquier aplicación móvil tiene como finalidad la de transmitir datos y para ello se necesita de un operador, si los datos son interceptados o existen fallos entre el usuario y la empresa que los gestiona, no existe jurídicamente responsabilidad por parte de nadie y el usuario se encuentra sin ninguna protección.
Si continuamos analizando la situación, debemos antes de analizar cómo es el uso de datos en las aplicaciones respecto al Data Mining y las aplicaciones móviles. El hecho es que según la definición jurídica del presente capítulo, debemos añadir el concepto “Servicio de la Sociedad de la Información”. Por ello para el caso de datos contenidos atendiendo a la Directiva 2000/31/CE donde se define el concepto “Servicio de la Sociedad de la Información” que remite a la Directiva (UE) 2015/1535 y que se complementa con la Directiva 2002/21/CE y el GPDR se entiende a este como todo servicio enviado desde una fuente y recibido por un destinatario a través de equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético o de comunicación con o sin hilos.
Por ello, teniendo en cuenta que el usuario cuando usa una aplicación usa un “Servicio de la Sociedad de la Información” para transmitir sus datos personales o privados a un tercero, podemos ver como se tratan dichos datos. La normativa se limita a otorgar confidencialidad a datos que se encuentren exclusivamente condicionados a la finalidad del tratamiento firmada en el contrato de prestación de servicios. El tratamiento de los datos sin embargo aunque se exige que debe ser lícito, seudonimonizado cuando así deba ser según lo firmado y sin toma de decisiones basadas en perfilados automatizados exclusivamente, la realidad es bien diferente.
La norma respecto al tratamiento es vaga, imprecisa y genérica. Las aplicaciones móviles tienen multitud de tratamientos de datos “al vuelo” que según los van recogiendo y posteriormente los postprocesan con data mining e Inteligencia Artificial extraen todo tipo de información que necesitan. El problema es la falta de determinación correcta del uso de datos, es decir, para que se extrae cada dato, con que finalidad exacta cada uno, que tecnología de tratamiento se usa, que roles de acceso tienen para visualizar tus datos el destinatario, que postprocesado de datos se hace, y que usos tanto estadísticos como personalizados al usuario según el contrato firmado; se usan los mismos.
El GPDR sólo se limita a establecer finalidades genéricas y sin mayor trascendencia que otorgar consentimiento para blindar la relación jurídica de prestación de servicios entre usuario y empresa o gobierno y darle un viso de transparencia. La transferencia internacional de datos como hemos analizado en capítulos anteriores también es un problema dentro del data mining y forma parte del presente problema.
La normativa europea actual no regula absolutamente nada sobre Data Mining, no la define conceptualmente, no tiene naturaleza jurídica ni nada que se le asemeje. No obstante no bastaría con definirla sino con regularla de forma exhausta junto a otras figuras como el IOT o el IORT. El GDPR y el resto de directivas aplicables de forma colateral a la materia no regulan nada más allá de meros consentimientos sin entrar a definir como debe ser el contenido de los contratos de servicios. La norma no va más allá de que deben ser claros e inteligibles, y de fácil acceso. Por otro lado el acceso a los datos que otorga el GDPR al Acceso, Rectificación, Cancelación y Oposición a los datos, en la realidad se limita a un email y poco más. La realidad técnica y jurídica debería aportar accesos a tiempo real para el uso de los derechos ARCO online y sin esperas.
Por ello, podemos ver como la explotación de datos “simple” le falta regulación, cuanto más el “Data Mining”. Podríamos pensar que la futura Directiva de e-Privacy que en breve espacio de tiempo se aprobará en el parlamento puede ser una solución; pero el europarlamentario Axel Voss coordinador del Special Committee on Artificial Intelligence in a Digital Age del Parlamento Europeo y los dictámenes de dicha comisión especial han indicado que la futura Directiva de e-Privacy no soluciona nada sobre los aspectos regulatorios del Data Mining o la Inteligencia Artificial, aportando soluciones jurídicas genéricas sin un nivel de protección adecuado al ciudadano y a los consumidores de productos y servicios basados o en los que se usen dichas tecnologías.
Asimismo si le sumamos lo que dice el artículo 2 apartado 2 letra c) del GDPR, en el que indica que no se aplicará el GDPR cuando los datos recabados se efectúen a una persona física en el ejercicio de actividades exclusivamente personales o domésticas. El hecho de que se excluya concretamente este tipo de datos, supone dejar fuera del GDPR la explotación de datos de la gran mayoría de aplicaciones móviles del mercado y por ello una total desvirtuación del espíritu del GDPR.
4. CONCLUSIONES
Tras analizar la forma de explotación de datos en aplicaciones móviles desde el punto de vista jurídico, podemos concluir que existe un problema regulatorio de base respecto a la explotación de datos. Las nuevas tecnologías, el Data Mining y el IOT e IORT aplicado a la explotación de datos obtenidos de entornos basados en aplicaciones móviles es todo un reto jurídico para cualquier estado, pero para la Unión Europea como entidad jurídica es una obligación. Las aplicaciones móviles son centros de datos que a través como hemos visto del caching se centran en la emisión de datos recaptados hacia unos servidores pertenecientes a empresas o entidades gubernamentales que los van a tratar con fines complejos.
El actual RGPD no contempla escenarios tan complejos a regular y sus preceptos no tiene capacidad protectora para situaciones no solo tan complejas sino incluso más sencillas desde un punto de vista tecnológico. El RGPD desde un punto de vista jurídico contempla situaciones protectoras basadas en escenarios sencillos donde el tratamiento de datos no va más allá de la evidencia significativa primaria para la que un aplicativo móvil se ha programado. No obstante la realidad técnica es muy diferente y el tratamiento de datos dista mucho de ser sencillo y simple. El RGPD está preparado para datos simples pero datos complejos como los metadatos, sean del tipo de metadato que sean. La legislación europea actual en su conjunto prevé escenarios donde el tratamiento de datos y su esfera protectora es posible compatibilizarlo con una regulación donde se cite quien va a tratar, porque y que categorías o datos. El desglose de tratamiento no va más allá y la exigencia de un contrato de servicios aparejado de otro exclusivo de tratamiento donde se explique esquemática y desarrolladamente todo el tratamiento íntegro de datos, es sencillamente inexistente.
El RGPD y las directivas vinculadas al tema en concreto no están preparadas para los actuales escenarios tecnológicos. El desglose completo de para que se trata un dato es necesario y no implica violación de know-how ni know-howtech alguno. La protección de los datos privados de un ciudadano es prioridad absoluta y más si tenemos en cuenta teorías de protección de datos como la Theory Modular Data Privacy teorizada en capítulos anteriores. Los datos no suponen un peligro para el prestatario de servicio de cara a la pérdida de conocimientos empresariales o inversiones derivadas o vinculadas. La protección de datos no puede estar supeditada a intereses comerciales o similares.
El Data Mining es un escenario cada vez más presente y con capacidades de análisis más complejo y más detallado. Todo ello unido a sistemas basados en IOT, IORT junto con Inteligencia Artificial nos ofrece unas capacidades de análisis complejas casi a tiempo real donde interactuando miles de datos de diversas aplicaciones de un mismo ámbito empresarial o mediante circuitos de intercambio de datos internacionales o intraeuropeos se puede reproducir la vida de cada individuo. La capacidad de análisis a través del Data Mining alcanza lugares casi de ciencia ficción, usando técnicas de machine learning para mediante deep learning y metodologías de análisis profundo predecir comportamientos tanto vinculados a cuestiones comerciales como punitivas como es el caso de diversos proyectos gubernamentales de análisis probabilístico de precognición penal individualizado.
Las posibilidades que otorga la tecnología necesita una fuerza legislativa a la altura, con altas capacidades de adaptabilidad y reforma. La legislación tanto europea como estatal debe tener suficiente versatilidad como para actualizarse a la vez que la tecnología y ofrecer una verdadera protección sin necesidad de entrar en un intervencionismo tecnológico. La interdisciplinariedad es el eje fundamental para un correcto desarrollo legislativo y una redacción jurídica con suficientes garantías. La unión de ingeniería y derecho es necesaria en ciertos ámbitos como al igual existe para conocimientos de otras ramas del propio derecho donde se unen conocimientos de otras ramas técnicas. El conflicto de derechos entre ciudadanía, tecnología e intereses comerciales debe balancearse a favor del ciudadano pues es el pilar de funcionamiento de toda polis.
BIBLIOGRAFÍA
Alasadi, S. A., & Bhaya, W. S. (2017). Review of data preprocessing techniques in data mining. Journal of Engineering and Applied Sciences, 12(16), 4102-4107.
Castells, M. (2001). Internet y la sociedad red. La factoría, 14(15), 1-13.
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)
Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)
Han, J., Kamber, M., & Pei, J. (2011). Data mining concepts and techniques third edition. Morgan Kaufmann.
Kotler, P. (2009). The Prosumer Movement. Prosumer Revisited: Zur Aktualität einer Debatte, 51.
Ray, P. (2016). Internet of Robotic Things: Concept, Technologies, and Challenges. IEEE Access, 4, 9489-9500. doi: 10.1109/access.2017.2647747.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
Simoens, P., Dragone, M., & Saffiotti, A. (2018). The Internet of Robotic Things: A review of con-cept, added value and applications. International Journal of Advanced Robotic Systems, 15(1), 1729881418759424.
Salazar, J., & Silvestre, S. (2016). Internet de las cosas. Techpedia. České vysoké učení technické v Praze Fakulta elektrotechnická.
Vermesan, O., Bahr, R., Ottella, M., Serrano, M., Karlsen, T., Wahlstrøm, T., ... & Gamba, M. T. (2020). Internet of robotic things intelligent connectivity and platforms. Frontiers in Robotics and AI, 7, 104.
Weber, R. (2010). "Internet of Things - New Security and Privacy Challenges". Computer Law & Security Review 26: 23-30.
World Internet Users Statistics and 2020 World Population Stats. (2020). Retrieved 09 March 2020, from https://www.internetworldstats.com/stats.htm
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación