La noticia ha sido impactante: durante ocho días a partir de noviembre, el Instituto Nacional de Estadística (INE) rastreará los teléfonos móviles de España. Sí, prácticamente todos, ya que esto será posible con la colaboración de las tres grandes operadoras de telefonía del país. El objetivo de este ambicioso experimento es conocer nuestros desplazamientos y -de este modo- saber cómo reforzar las infraestructuras.
Sin embargo, en cuanto se ha tenido noticia de este proyecto han surgido numerosas voces de alarma, sobre todo preocupadas por la protección de datos personales. ¿Quiere esto decir que el INE sabrá dónde estaremos todos y cada uno de nosotros durante esos ocho días? ¿Podrán rastrear todos nuestros movimientos? ¿No es esto ilegal, contrario al RGPD y al resto de normas de protección de datos?
Para responder a esta pregunta tenemos ir paso por paso.
Y lo primero que debemos explicar es que -al menos en teoría- la información que recibirá el INE será anónima. Es decir, no recibirá los datos de dónde está un determinado número de teléfono, sino que se le entregará información agregada de cuántos números de teléfono están en una determinada zona, sin saber quiénes son los titulares de dichos números.
Para entendernos, lo que tendrá el INE es información sobre cuántos teléfonos están conectados a una antena determinada, pero sin poderse determinar de qué teléfonos concretos se trata.
¿Por qué resulta esto relevante? Porque quizá podríamos no estar hablando de datos personales.
Por sorprendente que parezca, es así. La definición que ofrece el RGPD, en su artículo 4, de lo que constituye un dato personal es «toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente«.
Por lo tanto, si estuviéramos tratando información que no pudiera dirigirnos a una persona física identificable en concreto, no sería un dato de carácter personal.
Eso es lo que nos dice también el Considerando 26 del RGPD: «(…) los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación«.
Por lo tanto, el proyecto piloto del INE parece quedar exento de toda obligación relativa a datos personales, ya que no parece estar tratando dichos datos. ¿O sí lo hace?. Y aquí es donde tenemos que movernos en una esfera más detallista. Porque no todo lo que parece ser anónimo realmente lo es.
Lo primero nos lo aclara el propio Considerando 26 del RGPD que acabamos de citar, porque también matiza lo siguiente: «Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física«.
En otras palabras, antes de dar por sentado que un dato no permite identificar a una persona hay que plantearse si existen medios para hacerlo.
Y es una advertencia que recientemente también nos hizo la propia Agencia Española de Protección de Datos (AEPD). Porque una de sus notas técnicas hizo referencia, precisamente, al riesgo de «desanonimizar» datos y a las medidas que convenía poner en marcha para evitar dicho riesgo (es posible consultar la nota técnica en este enlace).
Lo que dijo entonces la AEPD es que no todo lo que parezca anónimo tiene por qué serlo en realidad. Y que, a la hora de anonimizar, hay que asegurarse -mediante técnicas que recomendaba la Agencia en la nota- de que no se puede deshacer el proceso.
La citada nota detallaba varios ejemplos en los que a partir de datos supuestamente anónimos se llegaba a identificar a personas concretas. Esto se puede lograr cruzando información obtenida de distintas fuentes, ya que cuando tenemos muchos datos -incluso datos anónimos- al final se puede conseguir identificar a una persona concreta, porque solo esa persona cumplirá determinadas condiciones en cada una de las fuentes.
O en palabras de la AEPD: «Sin embargo, aunque la realización de dicho proceso de anonimización aparentemente permite mantener el anonimato, dichos datos convenientemente agrupados y cruzados con otras fuentes de información, pueden llegar a identificar a un individuo e incluso relacionarlo con categorías especiales de datos (…). Existe un riesgo de que, una vez que se ha anonimizado un conjunto de datos, se pueda producir una desanonimización de éstos».
La duda existente, llegados a este punto, es si el INE ha tenido todo esto en cuenta. Si puede asegurar por completo que no podrá aplicarse ningún tipo de proceso de singularización para convertir estos datos «anónimos« en «relativos a personas físicas identificadas«. Porque entonces sí que sería plenamente aplicable el RGPD y toda su batería de garantías.
Por ejemplo, si resultara que el INE tratase datos que no son del todo anónimos tendría que realizar una evaluación de Impacto previa. Y también tendría que ofrecer las adecuadas medidas de seguridad, para garantizar la confidencialidad de los datos (entre otras obligaciones).
En este momento puede que nos estemos preguntando por qué tenemos tantas dudas sobre el buen hacer del INE. Al fin y al cabo, es un organismo público al que se le presupone la debida diligencia.
Sin embargo, al poco de conocerse la noticia de este proyecto surgió otra sorpresa: la AEPD no tenía conocimiento de su existencia. Como lo leen. De hecho, la Agencia no tardó en publicar este tuit en el que decía, literalmente, que iba a investigar el proyecto: «La Agencia se ha dirigido al INEsolicitando información sobre los protocolos establecidos con las operadoras para la utilización de los datos de los teléfonos móviles con el fin de conocer los desplazamientos de la población».
Lo que, a las claras, significa que la AEPD no conocía el contenido de estos protocolos. Y esto es lo más preocupante del proyecto. El hecho de que a un organismo público (INE) no se le haya ocurrido consultar a otro organismo público -que además resulta ser el máximo responsable estatal en materia de protección de datos- no ayuda precisamente a confiar en la diligencia debida. Lo más adecuado habría sido realizar de forma previa esa consulta y, una vez obtenido el dictamen favorable de la AEPD, poner en marcha el proyecto.
Ahora deberemos esperar a que el INE ofrezca la oportuna respuesta al requerimiento de la AEPD. Cosa que, para lograr la máxima tranquilidad y despejar toda duda, esperamos que el INEhaga proporcionando la mayor cantidad de información y con la máxima transparencia.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales