Responsabilidad en publicación de datos y el RGPD

Lo cierto es que la idea a partir de la cual ha surgido este artículo no es mía. Fue Jeimi Poveda @JeimyPove la persona que inicialmente escribió esta reflexión y es correcto darle el crédito.

De hecho si alguna persona está interesada en el tema de protección de datos y la normativa asociada a nivel nacional o europeo para mí es una persona de referencia y recomiendo que la sigan en twitter.

A través de su reflexión se plantea un dilema que creo que es importante: hasta dónde llega el derecho a la información y donde empieza el derecho a la privacidad. Por suerte en la mayoría de los casos esto está definido claramente en la normativa vigente, mientras que para el resto están la Agencia Española de Protección de Datos, los tribunales y los jueces que los dirigen aplicando dicha normativa para dictaminar lo que aplique a cada caso. Pero una cosa está clara, tal y como se indica en el hilo de twitter, la publicación de la información no es un derecho, es una responsabilidad. Y como toda responsabilidad debe llevarse a cabo con consciencia, prudencia y conocimiento.

Este no es un tema nuevo, de hecho está recogido en el actual Reglamento General de Protección de Datos. Pero empecemos por el principio… ¿Qué es un dato de carácter personal? Si nos vamos al artículo 4.1 del RGPD, y en los considerandos 26, 28 a 30, 34 y 35, podemos observar que se incluye la definición de Dato Personal como “Toda información sobre una persona física identificada o identificable”. Aquí vemos un matiz importante que queremos destacar “identificable”.

Aunque los datos hayan sido correctamente anonimizados de manera que cumplan con todas las exigencias técnicas y legales, si se produce algún tipo de inconsistencia a través de la cual el dato anonimizado pase a ser identificable, en este caso aplica la normativa vigente y deben aplicarse las garantías de la Ley de Protección de datos

De hecho si nos vamos al considerando 26 de dicha normativa establecemos la forma en la que se puede determinar una persona como identificable: “Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.” Dicho de otra forma si utilizando técnicas o procedimientos con un coste razonable (tiempo, económico o el que sea) se puede inferir u obtener obtener un dato de carácter personal, entonces el dato no está debidamente anonimizado y se está incumpliendo la normativa.

El RGPD introduce un concepto nuevo, lo que se conoce como “Seudoanonimización” que se establece en apartado 5 del artículo 4 en el que se indica 5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;”

Pero de una forma o de otra tanto cuando hablamos de anonimización como de seudoanonimización no hay que olvidar que aunque los datos hayan sido correctamente anonimizados de manera que cumplan con todas las exigencias técnicas y legales, si se produce algún tipo de inconsistencia a través de la cual el dato anonimizado pase a ser identificable en este caso aplica la normativa vigente y deben aplicarse las garantías de la Ley de Protección de datos.

Vamos al caso al que nos referimos… El país ha publicado el siguiente artículo en el que nos muestra la distribución del voto a nivel nacional… Sin duda ninguna la información es realmente interesante. Introduciendo un municipio o una dirección, el aplicativo nos muestra la distribución del voto. Por ejemplo buscando “Calle Alcalá en Madrid” el resultado es el siguiente

En su artículo los autores establecen que.

¿Pero qué ocurre en caso de secciones censales donde residan menos de 1500 personas? Hacemos una pequeña y sencilla investigación. Buscamos en Google el listado de pueblos con menor población de España. Y el primero de la lista es Illán de Vacas en la provincia de Toledo, con una población de 5 habitantes censados de acuerdo al INE.
Si en esta herramienta publicada en el Pais hacemos la búsqueda para este municipio concreto, encontramos que un 67% de la población ha votado a un partido político y un 33% ha votado a otro partido político, o dicho de otra manera 3 personas votan a un partido y 2 votan a otro.

Realmente desconozco si se han tenido en cuenta estas casuísticas, de hecho sería relativamente sencillo discriminar los datos para que no mostrara la información de secciones censales de menos de X habitantes. Pero lo cierto es que la Ley Orgánica 5/1985, de 19 de Junio, del régimen electoral general, en su artículo 86 establece en su apartado 1 que “El voto es secreto”. Bueno, en este caso concreto, si las dos personas que votan a un partido son marido y mujer, amigos o afiliados, el voto ha dejado de ser secreto ya que conocerán lo que ha votado el resto de habitantes del pueblo, y de hecho estoy convencido que realizando una búsqueda con técnicas OSINT para cualquier persona se podría averiguar quién votó a un partido y de esta forma inferir el resto. De hecho esto podría hacerse para otros municipios de más población (no demasiada) e incluso para calles dónde no viviera mucha gente y de esta forma inferir los votos de los ciudadanos, en un pueblo pequeño se conoce todo el mundo. Desconozco si la información debiera haber sido filtrada en origen o por otro lado la debiera haber filtrado el Pais, pero el voto debiera ser secreto.

¿La información publicada es valiosa? Sin duda ninguna. ¿Es útil? Seguro que sí. Pero no debemos olvidar que estamos sujetos a la normativa vigente y que ante todo esta debe ser cumplida. Tal y como decíamos al principio, la publicación de datos debe realizarse con responsabilidad. Además no hay que olvidar que aunque una publicación cumpla con la normativa de protección de datos, no significa que otros actos legislativos no sean aplicables al uso o publicación de los mismos.

Carlos Pintos

• Por Informática y Peritaje
• 06/05/2019
• publicación de datos, RGPD, privacidad, informacion, Protección de datos, identificable, Elecciones