Big Data y entidades financieras

Javier Aparicio

    El Big Data es, sin duda, una de las innovaciones más importantes de la revolución digital. Posibilita una evolución sin precedentes para la actividad humana, pero conlleva numerosas implicaciones éticas, que lo convierten en uno de los retos más importantes que afronta la sociedad.

    El Big Data depende de dos aspectos estrictamente técnicos: la capacidad de conservar información y la capacidad de analizarla. El desarrollo tecnológico aumenta constantemente la eficiencia en ambos aspectos, de modo que hoy en día toda la información, relativa a cualquier experiencia, está digitalizada, se conserva, recupera y analiza de forma automática facilitando conclusiones que antes eran imposibles de conseguir.

    Además, es posible relacionar cualquier circunstancia que hubiera podido influir, para obtener conclusiones sobre todas las causas y efectos, identificando qué actuaciones podrían haber mejorado el resultado final.

    Por ello, la competitividad ha mejorado de forma increíble en cualquier actividad. Hoy, además de la estadística sobre conjuntos de población, es posible analizar individualizadamente todas y cada una de las circunstancias que pueden haber influido, objetivas y subjetivas, para mejorar los procesos. De esta forma, el Big Data permite la singularidad en el trato a cada individuo mediante soluciones que se adaptan a su personalidad única.

    Es más, la singularidad en el tratamiento evita la ineficacia cuando la persona no cumple el estándar, incrementando de forma extraordinaria la eficiencia de los esfuerzos y, por ello, la competencia en cada actividad, al garantizar el éxito, no solo al inicio de la relación, sino también durante toda su ejecución hasta el final.

    La singularidad tiene una relevancia enorme en el sector financiero, ya que permite individualizar el estudio del riesgo y adaptar las condiciones financieras a las circunstancias reales de riesgo que afectan a cada individuo.

    Es más, los sistemas de análisis permiten identificar los indicadores de fluctuación del riesgo de forma continuada, no sólo al inicio de cada contrato. Esto permite dotar a los contratos de una elasticidad que los permita ajustarse a las circunstancias de cada momento y, con ello, incrementar aun más la competitividad del sector.

    Principales cuestiones que plantea el Big Data.

    Sin embargo, el Big Data plantea también problemas muy complicados.

    El Big Data afecta o pone en riesgo la libertad del individuo. Al fundamentar la toma de decisiones singulares para cada persona, el Big Data puede dar lugar a la discriminación, ya que fundamenta el trato desigual.

    ¿Qué ocurre en aquellos casos en que los precedentes que se sabe que son influyentes no son determinantes o cuando el resultado final no depende sólo de ellos, sino también de la voluntad o el esfuerzo del individuo?

    El Big Data puede así poner en riesgo la libertad de las personas y su capacidad de decisión atrapándolas como rehenes de sus propias circunstancias y eventos vitales. Aplicado ciegamente, el Big Data obliga a los individuos a aceptar como necesario aquello a lo que parecen estar determinados por sus precedentes y a rechazar como imposible aquello que sus circunstancias reflejan como no aconsejable, aunque las dificultades pudieran superarse mediante el esfuerzo.

    Mediante el Big Data se plantea el riesgo de la automatización, abandonando los criterios subjetivos de mérito y capacidad. No podemos ignorar que el automatismo que permite el Big Data reduce enormemente los esfuerzos de decisión e incrementa el peso del juicio previo de las circunstancias objetivas

    Por otra parte, el Big Data plantea también riesgos para la privacidad, pues se fundamenta en el uso de la información personal.

    Efectivamente, el Big Data se basa en la obtención y conservación de la información relativa a cada persona para su estudio, y la aplicación ulterior de las conclusiones obtenidas en casos singulares en los que esas circunstancias coinciden total o parcialmente.

    Operativa del Big Data

    El Big Data se desenvuelve en dos escenarios claramente distinguibles: el análisis de la información para la obtención de conclusiones y la aplicación automática de esas conclusiones a los casos ulteriores.

    El primer escenario se desenvuelve de forma esencialmente anónima, en él el interés se centra exclusivamente en la experiencia singular de un individuo, las diferentes circunstancias y resultados que han ocurrido en cada una de ellas.

    En este escenario, no interesa en absoluto conocer la identidad de la persona, pero, sin embargo, es necesario diferenciar cada uno de los conjuntos de datos a fin de poder actualizarlos (especialmente cuando la información procede de diferentes fuentes). Sólo formando conjuntos estancos de datos que impidan que la información se mezcle desordenadamente o se contamine, será posible concluir cómo afectan las variantes observadas a los resultados obtenidos.

    Por ello, en estos casos resulta necesario identificar, ya sea directa o indirectamente (sustituyendo la identidad de la persona por un identificador distinto, un pseudónimo) los datos objeto de análisis.

    Además, en muchos casos el simple análisis de la información acumulada permitirá deducir quién es la persona a quien se refiere.

    Dado que la simple posibilidad de identificar a la persona a quien se refiere la información obliga a aplicar las garantías de protección de datos, sólo cuando excepcionalmente información que se acumule sea escasa, o se difumine imposibilitándolo, el análisis de la información afectará a la protección de datos de la persona.

    La normativa de protección de datos obliga a informar y solicitar el consentimiento en aquellos casos en que la información objeto del análisis esté pseudonimizada o permita deducir su identidad

    Pero, estrictamente, aun cuando la identificación sea imposible, el simple proceso de limpiar la información eliminando o difuminando los datos identificativos constituye un tratamiento de datos sometido a las normas de protección que obligan a informar y, además, a permitir al menos la oposición.

    Es más, no puede ignorarse que el mero hecho de someter el historial anónimo de un individuo a un estudio pormenorizado para aplicarlo a alguna finalidad concreta, afecta también a la libertad de la persona, que puede no sentirse cómoda o incluso rechazar totalmente el propósito perseguido porque ofende sus intereses o susceptibilidades. Esto refuerza la necesidad de habilitar un sistema que facilite la oposición del interesado, informando de la intención de analizar la información y definiendo, al menos de forma abstracta, los fines últimos que persigue el proyecto.

    Adicionalmente, en esta fase analítica interesa enriquecer las condiciones subjetivas con las circunstancias objetivas que pueden haber afectado al resultado, circunstancias que normalmente se comprueban mediante fuentes privadas y fuentes abiertas de información.

    Dado que este enriquecimiento permite obtener las conclusiones relativas a la experiencia de la persona en cuestión, todo el proceso, aunque los datos objetivos no sean personales,estará afectado por la necesidad de informar y facilitar la oposición o, en su caso, solicitar el consentimiento.

    El considerando 29 del Reglamento General de Protección de Datos recomienda sustituir los agregadores de la información por pseudónimos para analizar la información, y puntualiza que esto no exceptúa los deberes de información y de respeto a la voluntad del interesado:

    “Para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta.”

    El considerando 28 insiste en esta misma idea:“la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos”.

    En la segunda fase del Big Data se aplican las conclusiones del análisis a un caso concreto, comparando las conclusiones extraídas en la primera fase con las circunstancias que concurren en cada caso para adoptar la decisión oportuna.

    En esta fase resulta esencial conocer la identidad de la persona respecto de la que se adopta la decisión, aceptando o rechazando una solicitud o determinando las condiciones singulares aplicables a la relación contractual.

    Es más, el Big Data no afecta sólo al inicio de la relación contractual. Hoy es posible establecer sistemas automáticos de adaptación de las condiciones del contrato a la evolución de circunstancias no meramente objetivas (el tradicional índice de base de intereses, por ejemplo) sino complejas, incluso subjetivas, cuya influencia en el equilibrio de las prestaciones se ha comprobado, siempre que lo hayan pactado las partes expresamente mediante los denominados Smart Contracts.

    En conclusión, en esta fase la incidencia en la privacidad es mucho más intensa, pues afecta directamente a los intereses individuales del individuo, beneficiado o perjudicado por la individualización de las condiciones.

    En todo caso, la individualización de las condiciones tiene que ser necesariamente objetiva, de modo que ante circunstancias iguales debe acordarse un trato idéntico, para no caer en la discriminación.

    Es más, el interesado que solicita el producto o servicio estará compelido a aceptar la individualización de las condiciones contractuales que exige la entidad que ofrece ese producto o servicio, aceptando en consecuencia que la entidad analice las condiciones singulares que concurren en su caso. Este proceso incurre de lleno en el ámbito de protección de datos, que obliga a la entidad a atender cuidadosamente las obligaciones legales. Es más, salvo supuestos muy excepcionales, resultarán de aplicación las normas de protección de consumidores y usuarios.

    En definitiva, la entidad debe ser muy meticulosa en todo el proceso de información y obtención del consentimiento, ya que cualquier defecto daría lugar, no sólo a sanciones, sino también a la nulidad del consentimiento de individualización del contrato, por limitar derechos del interesado (artículos 83 y 86 de la Ley General para la Defensa de los Consumidores y Usuarios). 

    En conclusión, el Big Data tiene una importancia capital en el desarrollo del negocio de las entidades financieras, máxime por la competitividad que afecta al sector. Sin embargo,exige de las entidades financieras una sensibilidad enorme para no vulnerar las garantías y principios de la protección de datos, cuya aplicación resulta inevitable.

    Autor:

    Javier Aparicio Salom, of counsel de finReg.
    - Abogado del Estado en excedencia.
    - Abogado del Estado en la Agencia Española de Protección de Datos.
    - Participante en el Grupo de Trabajo del artículo 29 de la Directiva de Protección de Datos.
    - Redactor de la LOPD en el Congreso de los Diputados.
    - Ex-Socio de Protección de Datos y Nuevas Tecnologías en Cuatrecasas.

     

    Artículos relacionados

    Etiquetas: Javier Aparicio Salom