PrivacidadVigilanciaSeguridad

La elaboración de perfiles y las matrículas digitales en el marco del Reglamento General de Protección de Datos

26 de agosto de 2019 por Polígono Boletín

8 minutos de lectura

La geolocalización o georreferenciación consiste en “proporcionar una ubicación geográfica de modo automático de un objeto en un sistema de coordenadas determinado” (Mendoza, 2014). Este sistema es una de las tecnologías más utilizadas en la era de las aplicaciones móviles, sin embargo, requiere la entrega de un dato personal de alto valor: la ubicación.

La ubicación y movimiento de una persona da cuenta de sus preferencias, gustos y vida privada en general. Sistematizar el historial de movilidad en una base de datos permitiría “establecer rutinas y prever dónde estará una persona un día determinado, a una hora determinada” (Gubri, 2016: 4), es decir, un perfil de movimientos.

El Reglamento General de Protección de Datos (RGPD) en su artículo 4º, Nº 1 define dato personal como “toda información sobre una persona física identificada o identificable” y precisa que una persona física identificable es “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización…”. También, este reglamento se hace cargo del tratamiento de datos automatizado que permite analizar o predecir aspectos relativos a, por ejemplo, la ubicación y movimiento de las personas, actividad definida como elaboración de perfiles o profiling. Además, en sus considerandos, el reglamento admite la posibilidad de que personas físicas sean identificadas mediante la elaboración de perfiles, ejercicio que se favorece por herramientas que asocian a identificadores información que se encuentra en línea y que es facilitado por dispositivos, aplicaciones, entre otros, todo ello con el fin de “adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes” .

Dato personal es toda información sobre una persona física identificada o identificable.

Sin embargo, el reglamento dispone que la licitud en el uso de dichos datos tiene como requisito sine qua non el consentimiento de su titular. Según el RGPD, el consentimiento debe ser un acto afirmativo claro basado en “una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, el cual puede darse como “una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal”. También aclara que en caso de que exista más de un fin, el consentimiento debe ser para cada uno de ellos. Por lo demás, el reglamento es categórico al reconocer el derecho de oposición que tienen los titulares de los datos en relación a ciertos fines con los que podrían usarse: “[s]i los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa”. Por último, el RGPD estipula en su artículo Nº 22 que “[t]odo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.

La consideración de la elaboración de perfiles en el RGPD como un elemento que puede afectar a las personas en la medida que se utilicen sin su consentimiento, u obteniéndolo de formas cuestionables para fines de mercadotecnia o en cuanto puede producir efectos jurídicos sobre personas por causa de decisiones basadas solamente en un tratamiento de datos automatizado, da cuenta del potencial riesgo de vulneración a los derechos y libertades de las personas que ha considerado el legislador.

Muchos de los aparatos que día a día se utilizan –teléfonos inteligentes, GPS, dispositivos tipo Internet de las cosas (IoT por sus siglas en inglés), etc.– realizan, requieren y/o solicitan conocer la ubicación del usuario. En ciertos escenarios, entregar esta información es deseable, sobre todo en lo referente a la seguridad de personas, sin embargo, en cierto punto también ser perjudicial para los usuarios si es que su finalidad no es respetada.

El IoT se caracteriza por conectar dispositivos que originalmente no fueron construidos para estar en red, teniendo como efecto que haya más dispositivos que personas conectadas a internet (Evans, 2011). Es en este contexto, es que durante el año 2018 comenzó a comercializarse una matrícula digital para vehículos, que cuenta con tecnología de tinta electrónica, posicionamiento global y otro tipo de transmisores (BBC, 2018; Bizjak, 2018). Entre las funciones y características de esta matrícula se encuentran:

‣ Reporta a servicios de emergencia en caso de accidentes.

‣ Visible en todo tipo de condiciones climáticas.

‣ Entrega información de condiciones del tránsito.

‣ Alerta en caso de que el vehículo es buscado por robo.

‣ Informa en caso de secuestros de niños .

‣ Pago de servicios de estacionamientos, peajes y multas.

‣ Muestra publicidad cuando el vehículo está estacionado.

‣ Mensajes de apoyo a causas.

Estas características requieren de geolocalización y conexión a internet constante, lo cual puede producir situaciones de riesgo que pueden llegar a enmarcarse en las disposiciones del reglamento citado anteriormente, en lo referente a la elaboración de perfiles y tratamiento automatizado de la información. Con fines ilustrativos se presenta el siguiente caso: un usuario de matrícula digital utiliza su vehículo a diario para dirigirse al trabajo. En la ruta se encuentra el supermercado donde trabaja su cónyuge y donde realiza las compras semanales los lunes. Los miércoles su cónyuge sale más tarde del trabajo, tiempo que él utiliza para visitar a una pareja extramarital. La matrícula registra y procesa la información de la rutina del usuario, generando un perfil de sus movimientos.

Por prácticas negligentes o ataques dolosos, esta información es filtrada y la obtiene el supermercado en el cual realiza las compras y trabaja su cónyuge. El supermercado analiza el perfil de compra del usuario y acompaña este informe con un estudio de mercadotecnia y un análisis de la base de datos de movimientos del usuario, por lo que decide pagar por mostrar publicidad en la matrícula de este usuario justo los lunes. Paralelamente, su cónyuge revisa el patrón de desvíos de los miércoles y descubre la infidelidad de la cual está siendo sujeto.

patente_digital.jpeg

Fuente: Sacbee.com

Este ejemplo da cuenta de que el mal uso del tratamiento de datos y/o ineficaz resguardo de los datos asociados al movimiento de un usuario causa un perjuicio en su privacidad relevante, pero cabe preguntarse ¿qué pasaría si fuese un gobierno el que decide vigilarlas rutas de sus ciudadanos? La vigilancia, entendida como el monitoreo sistemático de las acciones de las personas, es una de las vulneraciones más clásicas hacia los derechos fundamentales de las personas siendo internet una herramienta óptima para la recolección, tratamiento y perfilamiento de los datos de los ciudadanos (Rayman, 2015). La información con la que contaría un gobierno del día a día de sus ciudadanos sería una base de datos de alto valor.

El problema del tratamiento de datos sin consentimiento o mediante consentimiento viciado del titular podría controlarse con un uso efectivo de la «autodeterminación de la información», es decir, el control de los datos para que las personas puedan “decidir por ellas mismas cómo determinar los costos y los beneficios de la recolección, uso y divulgación de su información” (Solove, 2013: 13). El dilema surge en cuanto la autodeterminación esconde un supuesto de racionalidad e información en los titulares de datos que en la práctica no es real, sumado a la existencia de condiciones estructurales que muchas veces no permiten practicar de manera efectiva este derecho: la forma en que se exponen al titular los términos y condiciones de los servicios y productos ha demostrado ser deficiente, pues su naturaleza de realizarse en línea, su diseño que induce al consentimiento afirmativo y la imposibilidad de negociación que conlleva todo contrato de adhesión, causa que en la práctica el usuario deba aceptar sí o sí las condiciones para el uso del producto o servicio (Solove, 2013), aunque ello importe un tratamiento perjudicial de sus datos.

Las patentes de vehículos tienen, ordinariamente, una función de identificación del automóvil . En un escenario en el cual ya existen dispositivos que cumplen más o menos la función de las matrículas digitales (al menos en temas de ubicación), cabe preguntarse si realmente se requiere conectar e innovar en objetos que, por obligación legal, deben existir al momento de usar un vehículo y que, por tanto, extendería el riesgo en toda la población que cuente con automóvil. La decisión de entregar datos mediante el uso de la matrícula digital tiene por finalidad obtener los beneficios nombrados anteriormente, sobre todo los relacionados a seguridad. Utilizar estos datos para otra función iría, por tanto, en contra de ese consentimiento y debe ser considerado como una práctica ilícita, debido al riesgo de vigilancia, comercialización indebida, exposición de la vida privada, entre otros.

La regulación en países como Chile de tecnologías que potencialmente puedan ser mal utilizadas debe necesariamente tener un enfoque de derecho, sobre todo en materias tan sensibles como es la ubicación y movimientos de las personas.

Citas

  • BBC. (2018). Dubai to launch digital vehicle number plates. Recuperado el 15 de julio de 2018 desde https://www.bbc.com/news/world-middle-east–43710817
  • Bizjak, T. (2018). California debuts ‘digital’ license plates. Here’s what they’ll cost you. Recuperado el 15 de julio de 2018, desde https://www.sacbee.com/news/local/transportation/back-seat-driver/article211828814.html
  • Evans, D. (2011). Internet de las cosas: cómo la próxima evolución de Internet lo cambia todo. Cisco Internet Business Solutions Group. https://doi.org/10.2991/emim–15.2015.61
  • Gubri, M. (2016). La recolección de datos en el sistema de transporte público de Santiago: El caso de la tarjeta nacional estudiantil. Santiago de Chile: Derechos Digitales. Recuperado desde https://derechosdigitales.org/wp-content/uploads/V3-la-recoleccion-de-datos-en-el-transporte-público-chileno.pdf
  • Mendoza, O. (2014). La geolocalización y la protección de datos personales. Recuperado el 22 de julio de 2018, desde http://oiprodat.com/2014/11/05/la-geolocalizacion-y-la-proteccion-de-datos-personales/
  • Rayman, D. (2015). Chile: Vigilancia y derecho a la privacidad en internet. Revista Chilena de Derecho y Tecnología, 4(1). doi:10.5354/0719–2584.2015.36007
  • Solove, D. (2013). Autogestión de la privacidad y el dilema del consentimiento. Revista Chilena de Derecho y Tecnología, 2(2). doi:10.5354/0719–2584.2013.30308

Comparte este artículo

Suscríbete 📬

No te enviaremos spam. Nunca.