Privacidad de grupo
El concepto de privacidad se suele restringir a la esfera de la persona de forma individual, puesto que es la dimensión más tratada por la normativa. Sin embargo, la mayoría de las personas no son objetivo de un tratamiento individual sino como miembros de grupos específicos, donde los grupos son el foco de interés. El concepto de privacidad de grupo o privacidad grupal se ha desarrollado en torno a este concepto, entre otros, por el filósofo Luciano Floridi y los científicos Linnet Taylor y Bart van der Sloot.
Imagen de John Schnobrich en Unsplash
La privacidad de grupo o grupal se puede definir como la privacidad correspondiente a grupos definidos por cualquier característica o combinación de características que se asocian a determinadas personas.
El perfilado de las personas y su tratamiento por, por ejemplo, el Estado o los servicios de Internet, se puede considerar uno de los riesgos más importantes a la privacidad. El enfoque de la privacidad tomando a la persona de forma aislada tiene un origen histórico, puesto que el nivel tecnológico limitaba en el pasado las posibilidades del tratamiento masivo de datos de la población. Sin embargo, el avance de las técnicas de tratamiento de la información, como las de Big Data o Inteligencia Artificial, ha introducido nuevos aspectos a tener en cuenta. Según el filósofo Luciano Floridi, la mayoría de las personas no están perfiladas individualmente, sino como miembros de un grupo específico, y no se da la relevancia adecuada a las amenazas que de ello se derivan.
En el caso que nos ocupa, un grupo es un conjunto de personas. La pertenencia a un grupo puede nacer de la iniciativa de la propia persona, mediante una acción consciente y voluntaria, por ejemplo, apuntarse a un club o una asociación (grupo adscriptivo según Mittelstadt). También, el sentimiento de grupo puede surgir de alguna característica que la persona asume que comparte y le vincula con otras personas, por ejemplo, como un ideal político, un lugar de nacimiento, o una educación (grupo colectivo).
Sin embargo, una tercera parte interesada puede definir grupos estableciendo, por ejemplo, que pertenecen a un grupo aquellas personas que tienen el mismo tipo de automóvil, que compran un tipo de comida, que comparten el mismo nivel adquisitivo, que seleccionan el mismo contenido online, que viven en el mismo barrio, que portan un gen específico, que sufren la misma infección, etc. Estos grupos, que denominan ad-hoc, no tienen un listado de miembros y sus integrantes no son siempre conscientes de la pertenencia a los mismos. Un paso más allá ocurre cuando estos grupos se establecen, no a partir de una acción positiva de una persona, sino que establecen de forma automática a partir de la definición abstracta de una IA que “agrupa algorítmicamente” personas en función de un conjunto de datos.
Una vez establecido el grupo ad-hoc, se podría alimentar un perfil asociado éste mediante datos agregados sobre dicho grupo de personas de diversas formas. Una de ellas es hacer uso de las fuentes de datos abiertos, como, por ejemplo, los resultados electorales de un distrito. También podría crearse dicho perfil utilizando técnicas de Big Data sobre datos agregados procedente de la tecnología digital que utilizan las personas (apps, IoT, datos de navegación, geolocalización, …). Relacionada con la anterior, también es posible enriquecer la información del grupo realizando inferencias sobre la información agregada al mismo mediante modelos predictivos desarrollados mediante aprendizaje automático. Incluso puede enriquecerse el perfil mediante el rastreo y análisis de personas especialmente seleccionadas asignados a dichos grupos, cuyos resultados se extrapolan a todo el grupo.
De esta forma, los datos empleados para generar el perfil del grupo podrían no tener la consideración de datos personales, pudiendo incluir información que pudiera estar dentro de lo que se define como categorías especiales de datos. Los grupos generados ad-hoc no se beneficiarían de cualquier protección efectiva con relación a los perfiles generados porque no están establecidos como tal y no están sujetos a ninguna forma jurídica. El perfilado y las inferencias sobre estos grupos carecerían de cualquier protección legal.
A partir de allí, las entidades podrían tomar decisiones sobre personas tomando en cuenta cualidades que se han establecido en el grupo en el que dicho persona ha sido incluido. Independiente de la percepción que tiene la persona de su propia individualidad, de su desvinculación con los intereses o características de otras personas, el sujeto será evaluado en función del perfil asignado a dicho grupo.
La aplicación del perfil del grupo sobre la persona podría adoptar distintas formas. Por ejemplo, una plataforma de distribución de contenidos audiovisuales podría tratar de orientar las preferencias de los suscriptores de una misma zona en función del perfilado asignado al conjunto, de forma que ofrezca contenidos que sean más convenientes para su estrategia comercial y de gestión. Una persona, cliente de determinado producto o servicios, podría recibir “sugerencias personalizadas” que guían sus elecciones en función del grupo al que está asignado. Una cadena de tiendas adaptará su oferta y su marketing al perfil asociado a determinado código postal. También, en función de ese perfil grupal, sería posible adaptar propuestas, servicios u otras medidas a las personas que acudan a determinadas áreas, o en determinados momentos, o por su edad.
En este sentido, la constitución de un grupo permite la aplicación de lo que se denomina “conocimiento generalizable”, que implica universalizar a todos los miembros ciertas características comunes solo a alguno de ellos. Por ejemplo, el conocimiento generalizable de que fumar causa cáncer expone a todos los fumadores a precios de seguros médicos más altos.
Estos tratamientos conllevan riesgos para las personas, no sólo por su inclusión implícita en un grupo del que no tiene conocimiento, sino de que hay decisiones que le afectan y puede verse afectado por sesgos de los que se desconoce su alcance y posibles consecuencias. Podríamos encontramos con resultados discriminatorios por razón de género, raza, opiniones, hábitos o localizaciones geográficas concretas. Los miembros de un grupo se podrían ver atacados o discriminados sin que ellos mismos lo sepan.
Floridi señala que la protección de la privacidad grupal no se logra automáticamente al proteger la privacidad individual. Por esta razón, existe una corriente de opinión en el sentido de que la regulación actual, basada en la identificación personal de la información debería complementarse con un enfoque en la identificación de información sobre categorías o grupos. De hecho, algunos estudiosos consideran que los derechos de grupo son el origen del marco de los derechos humanos actual. Hay que tener en cuenta que derechos como la libertad religiosa o los derechos de las minorías étnicas tienen su origen en grupos.
Una conclusión importante es la concienciación de las personas sobre la importancia de preservar la propia privacidad, que va más allá de las consecuencias que puede tener para su propia privacidad ya que también puede afectar a los derechos y libertades de la sociedad en su conjunto. Esto no es un impedimento para los innumerables potenciales de la tecnología, sino más bien una condición para que este potencial se lleve a cabo de una manera responsable.
Otras recomendaciones elaboradas por la AEPD se pueden encontrar en el microsite de Innovación y Tecnología, específicamente aquellas relacionadas con las políticas de privacidad y principios de protección de datos:
- Gobernanza y política de protección de datos
- Protección de datos y seguridad
- Ingeniería de la Privacidad