Henry Velasquez ECIXPor Henry Velásquez Yánez, Asociado Senior ECIX GROUP 

Por sí misma, la información no lleva a comprender las cosas: se puede estar informadísimo de muchas cuestiones, y a pesar de ello no comprenderlas. Giovanni Sartori

No somos lo que decimos ser, somos lo que nuestros actos dicen de nosotros. Cada huella de nuestro tránsito a través de las autopistas de la información, va dejando “rastros” que revelan patrones de conducta y rasgos de nuestra personalidad, determinados a partir de nuestras preferencias y/o de la frecuencia de nuestras elecciones. Se trata de “rastros” fácilmente extraíbles, salvo que se hayan activado mecanismos para limitar su obtención.

La ciencia del Big Data aplicada a la creación de perfiles de usuarios en entornos digitales, consiste en recopilar estas “trazas” mediante técnicas avanzadas de extracción y minería de datos, y estudiar la información de nuestra “bitácora virtual”, para elaborar modelos predictivos de nuestros hábitos como usuarios, mediante observaciones analíticas/estadísticas, a partir de las cuales se pueda obtener un valor.

A tal efecto, la determinación de nuestro “perfil virtual” puede implicar, entre otros aspectos, el estudio de los siguientes elementos: (i) el navegador “browser” utilizado; (ii) el “agente de usuario” (p.e. el web crawler de buscadores); (iii) la dirección IP de nuestro equipo; (iv) la versión de nuestro sistema operativo; (v) la resolución de nuestra pantalla; (vi) las tipografías preferidas; (vii) el uso de aplicaciones web tales como JAVA; (viii) la instalación/uso de herramientas que sirvan como reproductor multimedia, como Adoble Flash Player; (ix) las horas que el usuario permanece conectado; (x) el historial de navegación; (xi) las cookies que el usuario tenga instaladas en su equipo.

Y es que muchas veces no somos conscientes que toda actividad, llevada a cabo en el ámbito digital, genera datos. En este contexto interconectado, fortalecido por la movilidad de los dispositivos inteligentes que utilizamos (smartphones, tablets, etc.), cada acción/omisión del usuario puede llegar a generar información y potencia el conocimiento de los rasgos característicos la personalidad.

Las tiendas que frecuentamos, el importe de nuestras compras, la naturaleza de los productos adquiridos, el intervalo con que repetimos nuestras compras, las palabras introducidas en los motores de búsqueda, la ubicación geográfica (posicionamiento global), las franjas horarias en las que habitualmente nos conectamos a la Red, nuestra interacciones en redes sociales, los vídeos e imágenes visualizadas, los clicks efectuados, son sólo algunos ejemplos de la ingente cantidad de datos trazables, almacenables y gestionables, que podrían ser analizados para determinar patrones que ayudan a anticipar el futuro, que permiten predecir (e incluso estimular) las necesidades del usuario.

No en vano, hay quienes consideran que “los datos son el nuevo petróleo del Siglo XXI”, una analogía acertada si tenemos en cuenta que, así como el petróleo fue el recurso natural que impulsó la última revolución industrial, convirtiéndose en la principal fuente de ingresos de muchos países desarrollados, los datos constituyen el recurso “natural” que está revolucionando la industria contemporánea, y se han convertido en el activo principal, en el lubricante base para los modelos socioeconómicos actuales.

Tal y como sucede con el petróleo, los datos requieren ser encontrados, extraídos, refinados, depurados, distribuidos y monetizados/rentabilizados. A tal efecto, en el Big Data, el procesamiento de los “rastros digitales” del usuario, implica la capacidad de gestionar, entre otros: (i) el volumen: tratamiento masivo de los datos; (ii) la complejidad: procesamiento variable de los datos, que podrían estar estructurados, semiestructurados y/o desestructurados; y (iii) la velocidad: el análisis, explotación y resultado final que se obtenga a partir del tratamiento de los datos, deberá ser eficaz, minimizando el tiempo de los procesos implicados.

Como resultado de este procesamiento, se obtendría un perfil, más o menos preciso, de quién realmente somos, se revelaría una identidad que no es fácilmente perceptible en el mundo offline, proyectaría nuestro alter ego virtual, la anatomía de nuestro “Qualified Self”, indicando nuestras necesidades, hábitos y gustos recurrentes.

En el ámbito empresarial, cuando el análisis de esta información se aplica a la ciencia de los negocios (Business Intelligence), permite convertir los datos estadísticos en rentabilidad pura, materializada en la mejora cualitativa de los servicios y en el conocimiento de las condiciones actuales y las tendencias emergentes del sector en que se desarrolla la actividad empresarial, pudiendo incluso anticipar los factores micro y macroeconómicos, que podrían afectarle.

A modo de ejemplo, la implementación de una tecnología basada en los algoritmos de aprendizaje de clientes/usuarios, posibilitaría que los sistemas de información utilizados para gestionar sus compras, permitan no sólo conocer sus gustos, sino prever sus necesidades y sugerir productos que resultarán de su interés, en el momento en que, previsiblemente, el cliente/usuario cuente con los recursos para adquirirlos. Todo lo anterior, basándose en historial de sus elecciones/preferencias, en el intervalo de sus compras y en las fechas en que el cliente/usuario suele ejecutar dichas transacciones.

No obstante, la utilización de este conjunto de datos en el análisis predictivo, requiere asumir los siguientes retos: (i) implantar tecnologías capaces de maximizar la potencia informática y precisión algorítmica, durante el procesamiento de los datos; (ii) resolver los problemas derivados del análisis de grandes bloques de información compleja, variable (estructurada, semiestructurada, no estructurada); (iii) gestionar riesgos derivados de posibles falsos positivos y malas interpretaciones de la información analizada; (iv) implantar procedimientos de gestión del cumplimiento de la normativa aplicable en materia de privacidad en el tratamiento de los datos de los usuarios.

Dejando de lado los retos derivados del procesamiento tecnológico y semántico de la información obtenida, conviene enfatizar los aspectos relativos al cumplimiento de la normativa vigente en materia de datos personales, ya que, independiente del volumen de los datos procesados, el tratamiento de los mismos deberá cumplir con los preceptos contemplados, principalmente, en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y en su normativa de desarrollo, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de la Ley Orgánica 15/1999 (RLOPD).

A mayor abundamiento, deberán observarse son los siguientes aspectos: (i) Calidad (arts. 4 LOPD y 8 RLOPD): los datos deberán ser precisos y actualizados, y su tratamiento no podrá ser desproporcionado ni exceder a las finalidades para los que fueron obtenidos; (ii) Información (art. 5 LOPD): se deberá informar, de forma precisa e inequívoca sobre las finalidades a las que serán sometidas los datos, sobre la identidad del responsable del fichero y sobre los medios puestos a disposición para el ejercicio de Derechos de acceso, rectificación, cancelación u oposición (ARCO); (iii) Consentimiento (arts. 6 LOPD y 15 RLOPD): salvo ciertas excepciones (art. 6.2 LOPD), será preciso el consentimiento del afectado para el tratamiento de sus datos conforme a las finalidades informadas; (iv) regularización de las cesiones (art. 11 LOPD): los datos sólo podrán ser comunicados a terceros para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado; (v) Derechos ARCO (arts. 15-18 LOPD y Título III RLOPD): se deberán gestionar las posibles solicitudes de ejercicio de estos derechos, mediante medios sencillos y gratuitos puestos a disposición de los usuarios, incluyendo el derecho a saber qué información se está tratando sobre su persona, a poder rectificar los datos que estén incorrectos/desactualizados, a poder oponerse al tratamiento de sus datos, y/o a solicitar la cancelación de los mismos.

Adicionalmente, si los datos han sido obtenidos a partir de una tercera entidad (p.e. proveedor que comercializa una base de datos externa), se deberán obtener garantías de cumplimiento normativo por parte de dicho proveedor, en lo que respecta al origen lícito y legítimo de los datos y al cumplimiento de las disposiciones aplicables a tal efecto, durante su obtención.

Por otra parte, si se tiene previsto contratar un prestador de servicios que acceda a los datos (p.e. interviniendo, en el análisis de los datos y/o clasificación de perfiles), es preciso suscribir un contrato de “Encargo de Tratamiento” (art. 12 LOPD), que deberá recoger, entre otros aspectos, las medidas de seguridad a ser aplicadas por dicho proveedor, durante el tratamiento de los datos accedidos.

En este sentido, conforme a lo dispuesto en el art. 9 LOPD y Titulo VIII RLOPD, se deberán adoptar las medidas técnicas y organizativas necesarias, para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, conforme al nivel de seguridad de los datos, el cual será básico (por ejemplo, cuando se traten datos meramente identificativos, por ejemplo: e-mail, nombre, apellidos, teléfono, etc.); medio (por ejemplo, cuando se trate de datos a partir de los cuales se establezcan perfiles de las personas basados en las características del usuario, como sería en el análisis de los hábitos de clientes/usuarios); y alto (si el perfil obtenido, adicionalmente, hace referencia a una ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual).

Entre otros aspectos, las medidas de seguridad correspondientes al nivel medio (aplicables a los datos que permitan establecer perfiles de personas), conllevaría a garantizar la implantación de los siguientes aspectos: (i) Gestión y Registro de Incidencias, (ii) Control de Acceso de los Usuarios, (iii) Gestión de Soportes, (iv) Identificación y Autenticación de los Usuarios, (v) Copias de Respaldo y recuperación; (vi) Realización de auditoría bienal en relación al cumplimiento de las medidas de seguridad en materia de protección de datos personales; (vii) Mantenimiento de Documento de Seguridad y (viii) Nombramiento de un responsable de seguridad.

Todo lo anterior, no hace sino evidenciar la necesidad de una correcta gestión de los riesgos que pudieran derivarse del incumplimiento de las disposiciones normativas aplicables. De lo contrario, la rentabilidad obtenida a partir de los modelos predictivos aplicados a las estrategias de negocio (mediante el Big Data), podría verse mermada por (i) un impacto reputacional negativo, derivado de la publicidad de un incumplimiento normativo durante el tratamiento de los datos; (ii) la imposición de una sanción pecuniaria cuyo importe, según la gravedad de la infracción, podría ascender hasta los 600.000 euros (art. 45 LOPD).

En virtud de lo expuesto, una adecuada gestión del “Compliance” aplicada en los procesos generados a partir del Big Data, permitiría disminuir los riesgos señalados, en la medida en que podrían identificarse probabilidades de impacto derivadas el incumplimiento normativo (riesgos legales), contextualizando el análisis dentro del sector al que pertenece la entidad que efectúa el procesamiento masivo de los datos (Big Data), identificando la normativa que resulta vinculante, así como la aplicabilidad de dichas normas y el análisis porcentual del ejercicio de la potestad sancionatoria por parte del Órgano regulador. Es decir, el análisis de riesgos legales podría representarse así: Riesgo Legal= Impacto X Probabilidad

De esta manera, se podría profundizar en el análisis del coste/beneficio que el cumplimiento normativo podría representar en las decisiones sobre estrategias operativas del negocio, calculando las probabilidades de que un riesgo legal se convierta en impacto, mediante (i) la evaluación de las amenazas; (ii) el mapeo de los elementos bajo riesgo; (iii) la valoración de la vulnerabilidad y (iv) la estimación de costos y/o beneficios que podrían desprenderse del cumplimiento normativo en cuestión. Todo lo anterior, a fin de ayudar en la toma de decisiones de negocio que pudieran plantearse en virtud de las observaciones analíticas/estadísticas del procesamiento masivo de los datos (Big Data).

En definitiva, aunque para algunos escépticos la popularización del “Big Data”, solamente promueve una mitología, la creencia de que el procesamiento masivo de los datos genera resultados con mayor veracidad, objetividad y precisión, para resolver problemas en distintos ámbitos empresariales, disciplinas y campos.

No obstante, no debe olvidarse que, independientemente de lo acertado que pueda resultar la aplicación de esta tecnología dentro de cada contexto particular, en la medida en que conlleve el tratamiento de datos de carácter personal, requerirá el cumplimiento de las disposiciones aplicables al efecto y, en consecuencia, la gestión adecuada de los riesgos legales bajo criterios de probabilidad objetiva.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.