Compromisos para la privacidad y ética digital

COMPROMISOS PARA LA PRIVACIDAD

Y ÉTICA DIGITAL

Compromisos para la Privacidad y Ética Digital

Ín DI CE

01. INTRODUCCIÓN 

3

02. Riesgos y oportunidades en la gestión de la privacidad de datos 6 2.1. Riesgos que enfrentamos en la gestión de la privacidad 7 2.2. Oportunidades en la gestión de la privacidad. Formas innovadoras de extender el valor de los datos 9 03. Principios éticos en el uso de datos personales y para el desarrollo de aplicaciones ba- sadas en datos 12

04. Compromisos para la privacidad y ética digital

15

05. Adhesiones al DOCUMENTO 22

2

Compromisos para la Privacidad y Ética Digital

INTRO DUCCIÓN

01.

3

Compromisos para la Privacidad y Ética Digital

En el siglo XXI, los datos se consideran un activo estratégico a disposición de las Admi- nistraciones Públicas y empresas privadas para llevar a cabo la necesaria transformación digital de las organizaciones. Esto se consigue a través de su explotación mediante diversas técnicas, pasando a ser los macrodatos el motor que mueve las nuevas tecnologías y que aporta valor estratégico en la gestión. Sin embargo, el intento de monetizar el valor de los datos en beneficio de las organizaciones conlleva el riesgo de que éstos puedan llegar a convertirse en una herramienta empresarial más. Esa visión utilitarista obviaría que los datos, especialmente cuando son personales o se dirigen a analizar el comportamiento de los individuos, forman parte de un derecho funda- mental que se tiene que proteger: la privacidad. En un contexto digital creciente, la situación de crisis generada por la pandemia de la Covid-19 a nivel mundial ha acelerado aún más la importancia de la recolección y uso de los datos. Esto se debe a que los gobiernos y administraciones buscan implementar nuevas tecnologías que faciliten el análisis masivo de los datos de la población como medio para intentar gestionar y, en última instancia, dete- ner el contagio del virus. Aunque si bien esta estrategia de monitorización parece ser una de las más eficientes, plantea diferentes cuestio - nes éticas acerca de cómo obtener el dato, rea- lizar el tratamiento y garantizar la privacidad del usuario. Por otra parte, como consecuencia de las restricciones de movilidad se ha producido un aumento del uso de los canales telemáti- cos y de la operativa digital. Esto ha supuesto un incremento notable del volumen de datos sobre el usuario al que las empresas y Admi-

nistraciones tienen acceso. Información que se obtiene a través del rastro que cada paso del usuario deja en dichos canales (aumento de las compras online, visionado de contenidos, uso de medios de pago online, entre otros). Esta digitalización de la actividad se ha visto fuertemente impulsada por la pandemia, que de otro modo hubiera llevado más tiempo y seguramente dirigido a otro modelo de digita- lización, lo que ha generado a su vez nuevos desafíos. Asimismo, otro efecto dinamizador ha sido la implantación del teletrabajo. En este sentido, se ha acelerado la necesidad de acometer una transformación digital global en muchas entidades, tanto públicas como privadas. Las organizaciones se han visto obligadas a modificar las formas de trabajo a un ritmo vertiginoso, garantizando en este nuevo esce- nario la privacidad frente a los ciberataques que amenazan la seguridad y privacidad de los datos de clientes, empleados y terceros. En este contexto, las organizaciones han de asegurar o garantizar, en el caso del uso de datos, que se preserva el derecho a la privaci- dad a través de la integración de compromisos éticos en el desarrollo, producción y puesta en marcha de sus procesos. Se debe priorizar la aplicación de esos compromisos éticos en el uso de la información a través de las nuevas tecnologías, además de garantizar los dere- chos fundamentales del individuo, teniendo en cuenta además que nos encontramos en un momento de promulgación de numerosas nor- mas, que se han convertido en un compromiso real de las organizaciones con las personas. Para ello, se hace necesario establecer prin- cipios comunes, sencillos y razonados, que guíen a las instituciones y organizaciones en la gestión de esa privacidad sin menoscabar los

4

Compromisos para la Privacidad y Ética Digital

derechos de los clientes y stakeholders (y que mejoren y fortalezcan la relación de confianza con ellos), y al mismo tiempo promuevan el desarrollo tecnológico necesario, de forma que sirva a las autoridades para legislar ágilmente y de forma proporcionada. Este documento recoge un conjunto de com- promisos, tanto en el uso como en el trata- miento de la información de que disponen las organizaciones. La adopción voluntaria de estos compromisos será un signo de con- fianza que aumentará el valor de las distintas empresas y organizaciones, tanto públicas como privadas, que aprovechen esta oportuni- dad y garanticen la implementación de estas medidas. En el siglo XXI, los datos se consideran un activo estratégico a disposición de las Administraciones Públicas y empresas privadas

5

Compromisos para la Privacidad y Ética Digital

Riesgos y opor tunida des en la gestión de la pri vacidad

de los datos

02.

6

Compromisos para la Privacidad y Ética Digital

En el proceso de transformación digital, las organizaciones que se sitúen a la vanguardia de tecnologías, como la Inteligencia Artificial o las innovaciones en robótica, tendrán un abani- co inmenso de oportunidades, pero al mismo tiempo deberán afrontar ciertos riesgos en el ámbito de la privacidad de los datos. Es en ese momento, cuando la protección de la privacidad debe ser vista como una oportu- nidad para incrementar la ventaja competitiva respecto de las organizaciones que hayan optado por una actitud pasiva, así como para incrementar la confianza de los usuarios. Abordar este reto de forma proactiva, integran- do funciones de privacidad, de gobierno y de seguridad que ofrezcan productos y servicios diseñados para proteger los datos personales, es, por tanto, el gran reto al que se enfrentan actualmente las organizaciones para convertir este escenario en clave de oportunidad. 2.1 Riesgos que enfren- tamos en la gestión de la privacidad A la hora de identificar los principales riesgos que las nuevas tecnologías pueden conllevar en cuanto a la invasión de la privacidad, es necesario clasificarlos desde tres puntos de vista diferentes, atendiendo a si afectan al individuo, a las organizaciones o al conjunto de individuos como sociedad. También resulta im- prescindible jerarquizar los distintos desarro- llos tecnológicos en función de estos riesgos y aplicar medidas de control sobre aquellas que tengan mayores implicaciones: Deducción sin consentimiento de da- tos personales y comportamientos. El uso de las nuevas tecnologías en la captura, análisis y uso de esta información hoy en día permiten realizar valoraciones predictivas sobre ámbitos tan personales como inclinaciones psicológi- cas, personalidad, o aspectos íntimos de las personas. Esto supone que se puedan inferir valoraciones de una persona sin que ésta sea consciente, llegándose a producir situaciones de discriminación. Riesgos que afectan al individuo •

• Desconocimiento de las implicaciones de la falta de control en el uso de los datos. Como regla general existe desinformación respecto del significado de la privacidad y del valor e importancia de los datos y la informa- ción privada. Esto conlleva a que los datos sean expuestos y por ello vulnerables a posi- bles usos. En general, los usuarios desconocen cómo sus datos son tratados, gestionados e, incluso, intercambiados o vendidos. • Desconocimiento de las comunicacio- nes de datos realizadas a terceros que pue- den impactar, entre otras cosas, en la desac- tualización de los datos registrados y en una limitación del control de los datos por parte del usuario. • Riesgo de ser objeto de actividades ilícitas , asociadas al uso de fraudulento de los datos. Riesgos que afectan a las organizaciones • Sesgos implícitos y resultados sesga- dos. Existen sesgos que no son debidamente identificados y corregidos por las organizacio - nes durante las etapas clave del proceso del uso y desarrollo de algoritmos: bien durante la recolección de los datos (lo que supone que no son representativos de la realidad o que reflejan prejuicios existentes) o durante su tratamiento (afectando a la precisión de la predicción de los modelos). A ello se suma la falta de contexto social, que hace que no puedan aplicarse los mismos diseños en diferentes sociedades con formas de pensar distintas. • Black Box Effect: En el uso de determi- nadas técnicas de aprendizaje automático no es posible prever con exactitud en el proceso de desarrollo la manera en la que los algorit- mos tomarán decisiones, ni saber con certeza cómo las adoptan. Esto puede generar incerti- dumbre y riesgo para las organizaciones en la toma de decisiones. Sin embargo, se pueden acometer esfuerzos posteriores para conse- guir y analizar la trazabilidad, aplicabilidad y transparencia de los algoritmos que puedan llegar a afectar a la vida de las personas.

7

Compromisos para la Privacidad y Ética Digital

• Almacenamiento y tratamiento de grandes volúmenes de datos. Actualmente las organizaciones, tanto públicas como privadas, necesitan almacenar gran cantidad de datos que, por su tratamiento en distintos ámbitos, pueden no ser vistos desde una perspectiva global. Es más, incluso pueden tratarse sin un cierto control humano efectivo y, lo que es peor, muchos de estos datos pueden encon- trarse o se encontrarán desactualizados. Esto significa que se extrapolará sobre una realidad distinta en muchos casos, incumpliendo las exigencias de calidad y legitimidad. • Uso de sistemas e infraestructuras de Inteligencia Artificial. Es necesario aplicar medidas de seguridad adecuadas en el uso de dichos sistemas e infraestructuras ya que, de lo contrario, pueden presentar vulnerabi- lidades y permitir accesos no controlados a los datos. Estas medidas deben ser aplicadas tanto en el ámbito de seguridad, como sobre los diseñadores y diseños de los algoritmos. Respecto a estos últimos, se requerirá especial atención para aquellos que parten del mundo de los programadores y el marketing y que no cuentan con una supervisión por parte de una fuente externa, que permita dar coherencia y dote de sentido a esos algoritmos, evitando así posibles sesgos. • Riesgos reputacionales y pérdida del valor de la marca. La reputación de una orga- nización puede verse dañada significativamen - te si la privacidad de los datos de los usuarios se ve comprometida, no es garantizada o si los datos no son tratados de manera ética. • Riesgo de incumplimiento. Las com- pañías cada vez están sujetas a mayores requerimientos por parte de reguladores y su- pervisores. Requerimientos que, además, son cada vez más exigentes y cuyo incumplimiento puede llevar parejo importantes sanciones. Además, en los casos en los que se ven invo- lucradas distintas jurisdicciones pueden dar lugar a conflictos regulatorios, lo que dificulta per se el cumplimiento de las normativas que puedan ser de aplicación. • Riesgo de sufrir ciberataques. En los últimos años, y más aún con el auge del teletrabajo, se han incrementado significativa - mente el número de ciberataques a los que las compañías están expuestos.

Riesgos que afectan a la sociedad • Manipulación de datos en las redes sociales. Es vital evitar conductas que se han convertido en habituales en el mundo digital, como el uso de fake news o perfiles falsos, a través de herramientas que se utilizan para hacer un uso incorrecto o no autorizado de la información en beneficio de determinadas organizaciones. • Decisiones automatizadas sin consen- timiento del usuario , especialmente a través del diseño de algoritmos que tomen decisiones sin supervisión ni intervención humana.

8

Compromisos para la Privacidad y Ética Digital

torias. En este contexto, cobra especial im- portancia encontrar formas innovadoras de extender el valor de los datos, pero siempre protegiendo su valor inherente y permitiendo su gestión de forma sencilla y transparente. Dentro de estas posibles formas innovadoras se encuentran: • Convertir al usuario en el centro del control de los datos como titular de estos, involucrándole en la gestión, y estableciendo para ello una comunicación basada en un len- guaje simple, claro y transparente. El objetivo es que el individuo pueda tomar conciencia de las finalidades para las que se utilizan sus da - tos, así como de los destinatarios, las acciones que se llevan a cabo sobre su información, y el control que tiene sobre el uso de los mismos, de forma que pueda tomar decisiones y ser partícipe de ellas. • Dotar de herramientas al usuario para la gestión y control del dato. Desarrollar herra- mientas que faciliten a los usuarios la gestión y el control de sus datos, de manera que puedan conocer, de forma sencilla, las implicaciones de cada uno de los consentimientos otorga- dos y la posibilidad de modificarlos o retirarlos cuando consideren conveniente, en procesos como puede ser su compartición con otros y su efectiva portabilidad. En este sentido, otorgar al usuario la gestión de los datos permitirá aumen- tar la confianza y optimizar su gestión. • Sensibilizar y formar en materia de privacidad, a través de la implementación de un programa integral de concienciación, mejorando la capacitación y concienciación de los empleados en relación con los datos y la privacidad. Los empleados han de conocer los riesgos y ser conscientes de los mismos, conociendo las distintas responsabilidades que asumen en función del puesto de trabajo y manteniéndose permanentemente actuali- zados sobre la evolución de dichos riesgos. Asimismo, ha de asegurarse que los usuarios conocen la importancia y el valor de la privaci- dad de sus datos. • Retroalimentación constante y au- toaprendizaje a través de la mejora continua de los sistemas de datos, aprendiendo de los desafíos pasados y utilizando la Inteligencia Artificial para formarse y corregir a partir de los errores.

Algunas iniciativas que intentan mitigar riesgos El uso de datos para contribuir al bien común, a través de iniciativas de open data, o las inicia- tivas de mejora de transparencia en la aplica- ción de Inteligencia Artificial, son algunas de las tendencias que marcan a las organizacio- nes las pautas a seguir para afrontar los retos que se les presentarán en el corto y medio plazo. Estas se basan en: • Proporcionar información sobre la lógica involucrada en la toma de decisiones individualizadas automatizadas y realizar un seguimiento del significado de las predicciones que se obtengan. • Acotar los problemas de sesgo o inter- pretabilidad de los datos y algoritmos. • Facilitar la recolección y rectificación de los datos a solicitud del usuario. • Incorporar la privacidad en los proce- sos de los ingenieros de desarrollo y respon- sables de marketing como punto de partida de los proyectos. • Generar sistemas que permitan a las personas revelar su identidad solo cuando sea estrictamente necesario. • Otorgar a los usuarios el control sobre el acceso a los datos y su compartición con terceros. • Aplicar el principio de minimización de los datos, procesando la cantidad mínima necesaria para el objetivo que se persiga en términos de los identificadores personales vinculados a los datos. • Aplicar el principio de mínimos privi- legios, donde solo los usuarios que necesiten ver los datos con una razón justificada podrán acceder a ellos y solo hasta que termine esa necesidad. • Aplicar técnicas de disociación sólidas (pseudoanonimización) para identificadores personales, agregación de datos y técnicas de encriptación. 2.2. Oportunidades en la gestión de la priva- cidad. Formas innova- doras de extender el valor de los datos La privacidad se ha convertido en una de las mayores preocupaciones sociales y regula-

9

Compromisos para la Privacidad y Ética Digital

• Invertir e innovar de forma constante para crear valor adicional a partir de los datos sin menoscabar los derechos de los indivi- duos. Deberán abordarse planes continuos de inversión e innovación que permitan adaptar los sistemas, productos y proyectos de acuer- do con las nuevas necesidades de los usua- rios y cambios normativos sin perjudicar al usuario, ni afectar a la relación de confianza o la gestión de sus datos. Permitiendo así crear valor adicional tanto para ellos, como para las organizaciones. • Elegir soluciones y/o proyectos que brinden el máximo valor, pero con un nivel de riesgos de privacidad aceptable para la orga- nización y el individuo. Para ello ha de incluirse la privacidad de los datos como una variable de riesgo en la toma de decisiones, de manera que no se ejecuten proyectos que puedan vulnerar- la. De igual forma, ha de elegirse proveedores que custodien los datos de manera garantista y aporten las medidas de seguridad necesarias. • Definir una base de principios de privacidad en los procesos operativos de las organizaciones para garantizar que, desde el inicio de la cadena productiva, se definen las medidas de seguridad y/o procesos necesa- rios para que se cumpla el principio de mini- mización en el uso de los datos y su visualiza- ción. Se trata de dotar de seguridad y aplicar estos principios a los procesos operativos en una doble vertiente: - En primer lugar, la que afecta a los propios sistemas, consistente en medidas de seguridad que apliquen principios como la anonimización y el cifrado por defecto , garantizando que se emplean tecnologías que permiten el tratamiento de los datos de forma anonimizada o pseudoanonimizada. - Por otro lado, dotar a los profesionales de la formación necesaria en el tratamiento de datos, el control de accesos y la ausencia de exposición del dato o su individualización. Además, es recomendable la elaboración y aplicación de un código de buenas prácticas para estos profesionales. • No implementar soluciones, proyectos y productos cuando su enfoque o aplicación debilite el vínculo de confianza del individuo. Toda nueva solución, proyecto y producto

deberá poner foco en la relación de confianza establecida con el usuario respecto del uso de sus datos. Si esta pudiese quedar merma- da, deberá replantearse la implementación y buscar soluciones alternativas que mantengan dicha relación de confianza. • Implementar soluciones que preser- ven los derechos de uso de los datos del individuo, independientemente de quién use el dato y la información a la que se encuentre asociada. En este sentido, es necesario contar con herramientas que garanticen la protección desde dos ámbitos: - Externa: Dotar de herramientas y tec- nologías para ayudar a proteger o monitorear la intrusión incluyendo herramientas de auten- ticación, firewalls, sistemas de monitorización, detección de intrusos y software antivirus y de cifrado. - Interna: Poner en marcha iniciativas que identifiquen el tipo de datos que se alma - cenan, qué tratamientos se realiza con dichos datos y qué información se extrae, para garan- tizar que en todo momento se está preservan- do el control de individuo sobre el uso del dato. Los empleados han de conocer los riesgos y ser conscientes de los mismos

10

Compromisos para la Privacidad y Ética Digital

11

Compromisos para la Privacidad y Ética Digital

Principios éticos en el uso de datos per sonales y para el de sarrollo de aplica ciones ba sadas en datos 03.

12

Compromisos para la Privacidad y Ética Digital

La aplicación de principios éticos en la ges- tión de la privacidad y en el desarrollo y uso de aplicaciones basadas en datos ofrecerá a las organizaciones ventajas competitivas en el proceso de transformación digital que precisan acometer, permitiéndoles: • Perseguir la aplicación práctica de prin- cipios como la igualdad y la no discriminación. Esto resultará en un posicionamiento único, tanto en el ámbito de la privacidad, como con respecto a su aplicación en el uso de nuevas tecnologías. • Actuar con responsabilidad y preservar la seguridad, la privacidad y el uso adecuado de los datos. • Preservar la identidad digital, protegien- do la información del individuo de la que se dis- pone y favoreciendo la toma de conciencia por parte de los usuarios de los riesgos inherentes asumidos respecto al uso por terceros de los datos de su titularidad. • Proteger la intimidad y los derechos y libertades fundamentales y respetar la libre voluntad del individuo. • Aumentar la transparencia en las orga- nizaciones en relación con el uso de los datos personales. • Desarrollar mecanismos y herramien- tas que mejoren y extiendan la capacidad de las personas para proteger sus datos y al mis- mo tiempo compartirlos en el mundo digital. Son necesarias nuevas herramientas tecno- lógicas que permitan obtener estas garantías respecto a la privacidad, así como la adhesión a los distintos estándares que respalden estas tecnologías, transponiendo los espacios gene- rados en el ámbito de la privacidad del mundo físico al mundo digital. • Informar y comunicar con total trans- parencia y de manera sencilla, garantizando el entendimiento del usuario. Para poder garantizar que las nuevas tecnolo- gías, como la Inteligencia Artificial o Big Data, se utilizan para beneficiar a la humanidad, se evidencia la necesidad de adoptar determina- dos principios éticos cuya aplicación supon- drá un reto que requiere del compromiso por parte de todas las entidades en su aplicación y que deben estar basados en: • Definir y detectar comportamientos no éticos para poder acotar lo ético, mediante la integración de:

Agentes éticos explícitos: Máquinas que calculan la mejor acción a seguir, usando principios éticos y algoritmos de solución de dilemas éticos. Agentes éticos implícitos: Máquinas progra- madas para evitar conductas inmorales. • Tener en cuenta y aplicar, por parte del desarrollador, criterios que eviten sesgos discriminatorios y partan del principio de homogeneidad en el diseño de los algorit- mos. Estos criterios han de basarse tanto en el equilibrio, como en la dotación de opciones al individuo para que pueda intervenir y exigir la aplicación de intervención humana. • Responsabilidad algorítmica. Debe existir un responsable del algoritmo, espe- cialmente en la utilización de macrodatos, de manera que exista supervisión sobre las deci- siones y las distintas clasificaciones que pueda otorgar un algoritmo, así como sobre la calidad y el histórico de datos. • Protección de valores fundamentales como la dignidad, la libertad, la democra- cia, la igualdad, la autonomía del individuo y la justicia , como oposición al razonamiento mecánico o la realización de acciones que supongan una invasión en la voluntad de los individuos o manipulación. Se evitarán estas acciones, a partir de la predicción de compor- tamientos que puedan causar daños o sean perjudiciales o simplemente vulneren la ca- pacidad de decisión de los individuos sin su conocimiento. • Aplicación de otros principios básicos como la solidez técnica, seguridad, transpa- rencia, diversidad, no discriminación y equi- dad, bienestar social y ambiental y rendición de cuentas. • Revisión de los aspectos éticos en el contexto cultural e implantación posterior de la escala de valores . Aplicando este análisis ético en el contexto en el que se despliega el servicio y poniendo el foco e implementando estos valores en los procesos de calidad y en los procesos internos de las organizaciones. • Los contenidos automatizados ge- nerados y agrupados por máquinas deben garantizar la libertad de expresión, de pensa- miento y la capacidad de decisión. Así como

13

Compromisos para la Privacidad y Ética Digital

respetar el principio de autonomía en la toma de decisiones, evitando la predicción de com- portamientos para generar acciones adictivas o perjudiciales para el propio individuo o su entorno. • La creación de comités éticos o incor- poración de la ética en alguno de los comités ya existentes. Es decir, plasmar por escrito el nivel de compromiso ético de una organiza- ción en el uso de datos y hacer seguimiento de estos compromisos para garantizar que la toma de decisiones de la que se dota a las nuevas tecnologías excluye cualquier trato sesgado o discriminatorio. • Transparencia. Tanto en el uso de los datos como en la información que trate del individuo, evitando la vigilancia y monitorización masiva y buscando un equilibrio entre la seguri- dad, la privacidad y el control sistemático. Respetar el principio de autonomía en la toma de decisiones, evitando la predicción de comportamientos para generar acciones adictivas

14

Compromisos para la Privacidad y Ética Digital

Compromisos para la privacidad y ética digital

04.

15

Compromisos para la Privacidad y Ética Digital

El presente documento define los compromi - sos que, en el ámbito de la privacidad y la ética, deben ser aplicados por las empresas y enti- dades adheridas para transformar la gestión de los datos en sus organizaciones. El docu- mento se caracteriza por su perspectiva ética, la protección de los usuarios y la aportación de herramientas para su control y gestión. Todo ello sin dejar de proporcionar una ventaja com- petitiva a las organizaciones en la era digital. Se trata pues de un documento que pretende servir de base a las organizaciones para la definición y aplicación de sus políticas en torno la gestión de la privacidad y el uso ético de los datos. Esto incluye el avance de nuevas tecno- logías, tal como son la Inteligencia Artificial, loT o Big Data. El presente documento define los compromisos que, en el ámbito de la privacidad y ética, deben ser aplicados por las empresas y entidades La adhesión se interpretará por parte de las entidades participantes como una demostra- ción de compromiso y preocupación por la gestión de la privacidad desde la perspectiva de la gestión ética de los datos, que permita además fomentar la confianza de la sociedad en el tratamiento de los datos y la promoción de su uso responsable. En este sentido, el documento busca actuar conforme a los principios de privacidad y ética en el uso de los datos de los individuos. Esto implica promover el cumplimiento de dichos compromisos, exigirlos cuando corresponda y darles la oportuna publicidad. En concreto, las entidades que se adhieran al documento se comprometen a: - Implementar medidas en relación con

la gestión del dato en la organización para avanzar hacia un proyecto firme de aplicación real del uso ético de la IA y la aplicación de los principios básicos del documento para prote- ger la privacidad y los derechos fundamenta- les de los individuos en el uso de las nuevas tecnologías tanto desde su producción como durante todo su desarrollo evolutivo. - Cooperar entre los miembros que sus- criban este compromiso, tratando de colaborar y compartir la información, así como las dis- tintas metodologías creadas por cada entidad para conseguir implementar los compromisos adquiridos. - Difundir el contenido del documento dentro de las organizaciones y mediante un plan de comunicación. Teniendo en cuenta lo anterior, el documento contempla los siguientes compromisos: 1. La persona debe si- tuarse en el centro del diseño de servicios referentes a datos, pensando en el usuario final y las personas. En la medida en que la tecnología aumenta su capacidad de procesamiento, se produce de forma exponencial una discordancia con la evolución de la persona. De esta forma queda en manos de la tecnología la evolución de toda la información que pueda encontrarse asociada a la misma , entre la que se encuen- tran sus datos. La creación e integración de un diseño éti- co será una de las garantías encaminadas a velar por los derechos del destinatario final. Estará basado en la aplicación de medidas que consideren como punto de partida la gestión de la privacidad y otros aspectos tales como: evitar diseños adictivos de forma que inte- gren y protejan a los sujetos más vulnerables, respetar el principio de autonomía en la toma de decisiones, la aplicación de medidas de seguridad y coherencia que permitan minimi- zar el uso de los datos y la sobreexposición de los mismos, así como la vigilancia masiva, entre otros. Es por este motivo, que las organizaciones deben tener en cuenta a la persona y sus

16

Compromisos para la Privacidad y Ética Digital

datos dentro del procesamiento de cualquier desarrollo tecnológico. El objetivo es preser- var su privacidad como objetivo del diseño del producto , desde el momento inicial, hasta su desarrollo evolutivo y la puesta en funciona- miento del servicio. En este sentido, es conveniente desarrollar herramientas que permitan la gestión a los usuarios y sean transparentes en el uso de sus datos. De forma que se posibilite e impulse el conocer, de forma sencilla, las implicaciones de cada uno de sus consentimientos, así como la posibilidad de modificarlos cuando consideren conveniente. En este sentido, otorgar al usuario la gestión in- tegral de los datos consideramos que permitirá aumentar la confianza y mejorar la relación con el usuario. Permitiendo, en función de las necesidades del usuario, un control y gestión a mayor o menor nivel. 2. Sesgos: conseguir que la discriminación resulte paritaria. Mediante el uso de los algoritmos, aplicados a una gran cantidad de datos, las organiza- ciones arrojan distintas categorizaciones sobre las que se toman decisiones. Dichas categorizaciones -automatizadas y, en oca- siones, bajo supervisión e intervención hu- mana- pueden reflejar, ampliar o perpetuar sesgos: desviaciones indeseadas en los resul- tados del tratamiento de datos, que derivan en conclusiones inadecuadas en el proceso de inferencia, en que se produzcan correlaciones falsas, errores, o en una subestimación de las repercusiones éticas, sociales y legales. La complejidad para distinguir qué sesgos producen estas desviaciones supone que las organizaciones deben comprometerse a pres- tar especial atención e interés en analizar la información y los datos que forman parte de las muestras. En este sentido, se debe procurar que las muestras resulten lo más homogéneas posibles, y que la configuración de los criterios algorítmicos con los que se toman estas decisiones respeten los derechos y libertades reconocidos por el ordenamien- to jurídico, teniendo en cuenta así mismo el momento histórico vinculado al componente

social que exista en cada momento. Todo ello con el objetivo de poder adaptarse de forma rápida, actualizándose ante cualquier variable que pudiera afectarles, producir efectos perju- diciales o que puedan vulnerar las caracterís- ticas propias de cada individuo, evitando así discriminaciones colectivas. Asimismo, se ha de ofrecer al individuo opcio- nes para que pueda intervenir y exigir la apli- cación de intervención humana. El esfuerzo en este sentido, que se debe invertir en la fase inicial de los distintos desarrollos tecnológicos, conseguirá minimizar el impacto del riesgo de utilización de los datos con fines discriminato - rios o fraudulentos, y la posible exclusión del papel de los individuos en estos procesos. De no ser así, el uso discriminatorio podría tradu- cirse en procedimientos deficientes en la toma de decisiones, con repercusiones negativas en las vidas y oportunidades de los individuos, en particular de los grupos excluidos, así como generar un impacto negativo en las organiza- ciones. 3. Transparencia de los datos. Huella digital Una vez el usuario facilita sus datos a una organización, se genera una identidad dentro de la misma. Esta identidad está basada en el rastro o trazabilidad que se obtiene de sus datos y la información inferida al cruzarlo con otros datos de su relación o interacción con la entidad (que puede coincidir o no con la que se tenga en otra organización). Las organizaciones deben dirigir, por tanto, grandes esfuerzos en poner en conocimiento de las personas los distintos tratamientos y destinatarios de sus datos. En este sentido, los titulares de los datos tienden a considerar que los únicos datos que las empresas mane- jan en su nombre son aquellos que se facilita- ron en un primer formulario, y las finalidades se limitan a las del servicio que se va a obtener. Es por esto por lo que, de forma general, desconocen el valor de sus datos, haciendo ne- cesario que las empresas y servicios públicos transmitan, no solo los terceros a los que se cederán sus datos, sino también las finalida - des más avanzadas o indirectas (que incluiría, por ejemplo, los análisis comportamentales o predicciones sobre hábitos de consumo) de

17

Compromisos para la Privacidad y Ética Digital

una forma sencilla y sin opacidades , de forma que el usuario y titular del dato pueda com- prender las implicaciones. En todo momento, la persona tiene que poder conocer esa identidad, facilitando el acceso y la visualización de toda la información de su titularidad, así como los distintos agentes que interactúan y se encuentran usando sus datos, así como la actividad que desarrollan con ellos. Se ha de garantizar el derecho a limitar o suprimir sus datos, o a portar sus da- tos a otro lugar, así como garantizar al usuario la posibilidad de poder destruir cualquier tipo de trazabilidad o huella. Solo así, el titular del dato podrá hacer una completa gestión de su identidad y de la información asociada al mismo, permitiendo, cuando la persona deja de utilizar el servicio, limitar el uso que se esté haciendo del dato. 4. Cumplir con los as- pectos legales de fi- nalidad y tratamiento, gobernanza y plani- ficación, privacidad y propiedad o disponibili- dad de los datos. Las empresas y entidades públicas y priva- das se comprometen a actuar conforme a la legislación vigente en protección de da- tos personales y privacidad, y los distintos dictámenes de las autoridades de control. De manera que se atienda a las distintas obliga- ciones, como el deber de prestar información sobre la identidad y los datos del responsable del tratamiento, la finalidad para la que se tratan los datos y la base legítima para cada actividad del tratamiento. Otros principios generales serán la elabora- ción de políticas en las que se regule el tiem- po de conservación de los datos, evitando que no se mantengan en las organizaciones más allá del máximo tiempo legal permitido. Así mismo, se debe informar de la existencia de derechos del titular de los datos y el pro- cedimiento para ejercerlos, con información sobre los terceros a los que se cederán los da- tos, si existe obligación legal o contractual para cederlos, si existen decisiones automatizadas, si el tratamiento supondrá transferencias inter- nacionales a terceros países, o la base legítima

para realizarlas, poniendo la justificación de su legitimación a disposición del interesado. En caso de dudas, cuando las empresas se enfrenten a escenarios no contemplados por la legislación actual, deberán ponerse en contacto con la autoridad competente faci- litando la consulta para ayudar a abordar y mejorar la ley. Una vez el usuario facilita sus datos a una organización, se genera una identidad dentro de la misma Estas obligaciones referentes al derecho de información habrá que combinarlas con principios básicos del tratamiento de datos personales. Los cuales consisten en la mi- nimización del uso de los datos, integridad y confidencialidad, licitud, transparencia, exacti - tud de los datos, privacidad desde el diseño y, por defecto, elaboración de las evaluaciones de impacto para prevenir potenciales riesgos en el tratamiento de los datos y todos aquellos que puedan surgir derivados de la actividad reguladora. 5. Conocimiento, sensi- bilización, competen- cia, formación e infor- mación. Especialistas de la privacidad y uso ético de los datos. Hay que superar la falta de conocimientos, información, responsabilidad y competen- cias, impartiendo formación y capacitación a todos los niveles, dentro de los órganos empresariales, gubernamentales y la ciuda- danía. Uno de los aspectos que menos se tienen en cuenta cuando se habla de privacidad es cómo esta afecta a las personas que van a utilizar la tecnología y que van a sufrir los cambios en los procesos digitales cotidianos, con los que no están familiarizados. Fomentar la forma- ción y comunicación sobre la privacidad en la era de la digitalización constituye, por tanto, un reto. En este sentido, una de las condiciones

18

Compromisos para la Privacidad y Ética Digital

6. Procesos, algorit- mos y enfoque humanis- ta. Los algoritmos deben estar supervisados por humanos con diferentes grados de interven- ción , de manera que se puedan supervisar y re- visar las decisiones y las distintas clasificacio - nes que pueda otorgar un algoritmo, así como la calidad y la revisión del histórico de datos. En concreto, se deben aplicar estas medidas en relación con los distintos repositorios de datos desde donde se extrae la información para la toma de decisiones, y que normalmen- te se basa en una gran volumetría de datos. Ya que con independencia de que el repositorio se actualice de forma constante con nueva in- formación, se corre el riesgo de que en algún momento la información histórica produzca decisiones que den lugar a resultados que puedan atentar contra la realidad social y jurídica del momento. Es por ello por lo que habrá que garantizar que se eliminan los datos obsoletos o que ya no son necesarios y revisar que se encuentran libres de errores para mejorar su calidad e, igualmente, asegurar y desarrollar los meca- nismos necesarios para un gobierno de los algoritmos y sus resultados. 7. Calidad. Cualifica- ción de datos y algo- ritmos, certificados o certificables. Las empresas e instituciones deberán reali- zar mayores esfuerzos para intentar adherir- se a estándares o certificaciones reconocidas a través de las autoridades competentes en materia de protección de datos , que permitan verificar la cualificación y/o calidad en el trata - miento de los datos personales. A falta de estas certificaciones, en el su - puesto de los datos , se intentará conseguir en las distintas organizaciones que se garantice la veracidad y se reconozca la titularidad y exactitud de los datos. Esto aplica tanto a la información añadida, como a la información inferida o asociada que se maneja después de un procesamiento del dato, al análisis asociado a la traza comportamental y/o a la información cruzada con otras bases de datos. Respecto a los algoritmos , se avanzará en el diálogo entre entidades usuarias de datos y

más importantes para que funcione la sen- sibilización en la privacidad es que todas las organizaciones estén comprometidas con el proceso de formación y creación de propues- tas y actuaciones para una cultura en torno a la privacidad y la ética del dato. Además, se hace necesario impartir formación a todos los profesionales que intervienen en el procesamiento de datos o que puedan acceder e intervengan en procesos operativos relacio- nados. No solo desde el ámbito de seguridad de la información o ciberseguridad, sino también desde el ámbito del uso ético y la protección de la privacidad. Incluyendo, como riesgo principal durante el proceso de producción, la privacidad de los datos de los individuos en la toma de decisión de un proyecto. Esta formación tiene que permitir garantizar la privacidad y un uso acorde con los prin- cipios fundamentados en el respeto a las libertades individuales , evitando así la sobre- exposición del dato y/o su individualización sin las garantías adecuadas. La formación debe partir tanto desde la transmisión del conoci- miento, como desde el compromiso del propio personal. Es más, ese compromiso implicará la aceptación de códigos éticos en el uso de datos que garanticen las buenas prácticas en privacidad y su estandarización dentro de las organizaciones. Es fundamental que los profesionales se for- men desde esta doble vertiente y se puedan obtener auténticos especialistas de la privaci- dad que tomen sus decisiones basadas en un conocimiento específico que atienda a estos principios.

19

Compromisos para la Privacidad y Ética Digital

reguladores para delimitar qué se considera información suficiente e insuficiente a facili - tar, respecto del funcionamiento de modelos analíticos. El objetivo será definir el grado de replicabilidad y lógica algorítmica exigible a cada aplicación. 8. Datos públicos y da- tos privados. Modelos de compartición de da- tos personales y dere- chos humanos. El gran problema para la recolección y com- partición de datos personales surge respecto a la posible base legitimadora para transferir y extraer estos datos. Es por ello por lo que las empresas e instituciones tienen que com- prometerse a ponderar los bienes que tratan de proteger y los que pueden verse afectados por el tratamiento de los datos personales para minimizar el impacto que pueda generar. Es importante volcar los esfuerzos en que los ciudadanos conozcan toda la información que afecte al tratamiento de sus datos y en la obtención del consentimiento en los supues- tos que se reconocen en la legislación, siempre que sea posible, pero mejorando el control y el ejercicio de derechos respecto a la informa- ción obtenida. Asimismo, el ciudadano tiene derecho a exportar sus datos entre proveedo- res, de manera sencilla e interoperable, para hacer así efectivo su derecho de portabilidad. Esta transparencia en la información servirá para que el ciudadano tenga conocimiento, en todo momento, de que no se están utilizando los datos para fines distintos a aquellos para los que se recabaron. Se tendrán que generar campañas de comunicación que puedan favo- recer e impulsar la adquisición de conocimien- to efectivo de estos tratamientos por parte del ciudadano. 9. Colaboración: par- ticipación de pequeñas y grandes organiza- ciones, reutilización, mejores prácticas, va- lor social y uso de los datos. Colaboración entre empresas adheri- das.

El presente documento supone el compromi- so de las empresas y entidades para imple- mentar las mejores prácticas en materia de privacidad y ética. En aras de una mayor efec- tividad e impacto, se debe facilitar la colabora- ción e intercambio del conocimiento adquirido y buenas prácticas respecto a los distintos estándares que se elaboren a nivel interno para la aplicación de los distintos compromisos mostrados. En este sentido, otorgar al usuario la gestión integral de los datos consideramos que permi- tirá aumentar la confianza y mejorar la relación con el usuario, permitiendo, en función de las necesidades del usuario, un control y gestión a mayor o menor nivel.

20

Compromisos para la Privacidad y Ética Digital

10. Mejora continua: evolución de las medi- das que aseguran la privacidad. Proactivi- dad que retroalimenta de manera constante la cantidad y efectivi- dad de los controles. Con ánimo de superarse e innovar, las entida- des que se adhieran deben ser autocríticas y tratar de mejorar de forma continua. Para ello, deben poner los controles y desarrollar los indicadores necesarios que permitan medir la efectivad de sus herramientas y el impacto real de los protocolos y soluciones, así como la concienciación generada. Así mismo, debe asegurarse una renovación de la seguridad de la empresa conforme el negocio y el uso y volumen de datos lo hace, reforzando el ánimo de prosperar de manera proporcionada y garantista, de acuerdo con lo reflejado en este documento.

21

Compromisos para la Privacidad y Ética Digital

Adhesio nes al DO CUMENTO

05.

22

Compromisos para la Privacidad y Ética Digital

Las siguientes entidades, conscientes de la importancia de las nuevas tecnologías para la sostenibilidad, la calidad de los servicios que prestan en sus respectivos ámbitos, del carácter especialmente sensible de los datos que manejan, y de la necesidad de estable- cer controles que sustenten la confianza de los usuarios, han consensuado finalmente los compromisos reflejados en el presente documento, tras un debate abierto sobre los posibles impactos que la aplicación de éstos pudieran tener en sus respectivos sectores y organizaciones.

FI Group

Arquimea Group

Ayuntamiento de Gijón

Plastic Energy

Caixabank

Ayming

Instituto de Fomento de la Región de Murcia

Gobierno de Navarra

Mapfre

Gobierno de La Rioja

Orange

Fundación Ramón Areces

Primafrio

ACCIÓ

Telefónica

Agbar

IVACE

Fundación Corporación Tecnológica de Andalucía cTA

L’Oreal España

Pfizer

PONS IP

IBERDROLA

Fundación COTEC

23

Compromisos para la Privacidad y Ética Digital

COTEC.ES

24

Page 1 Page 2 Page 3 Page 4 Page 5 Page 6 Page 7 Page 8 Page 9 Page 10 Page 11 Page 12 Page 13 Page 14 Page 15 Page 16 Page 17 Page 18 Page 19 Page 20 Page 21 Page 22 Page 23 Page 24

Made with FlippingBook - Online Brochure Maker