La fórmula tecnológica que exprime los datos sin sacrificar la privacidad

Javier Aznar, socio de Ciberseguridad y Privacidad de KPMG en España, destaca cómo favorecer la adopción y desarrollo de las PET en el seno de las empresas: «Destacan, por su enorme impacto, tres retos, comenzando con el cumplimiento con el principio de minimización de datos, garantizando que solamente se traten datos personales adecuados a las necesidades y fines del tratamiento». En segundo lugar, Aznar señala la importancia de «alcanzar un nivel de seguridad del tratamiento de los datos adecuado a los fines y riesgos asociados, siempre teniendo en cuenta la previa evaluación de impacto que determine si las PET son adecuadas o no para cumplir los objetivos perseguidos», para finalizar con el de, en su opinión, mayor relevancia: «Trabajar en minimizar el riesgo que se deriva de las brechas de datos personales, haciendo que los datos personales sean ininteligibles para cualquier persona no autorizada a acceder a ellos».

¿Cómo se consigue esa potencia o mejora que indica el término 'enhance'? De momento, se trabaja con opciones como, entre otras, los datos sintéticos (datos 'artificiales' para entrenar modelos de Inteligencia Artificial y mejorar los procesos), o con acciones que garantizan altos niveles de seguridad, como la encriptación homomórfica (trabajar con datos cifrados sin necesidad de descifrarlos) o las pruebas de 'conocimiento cero', usadas, por ejemplo, en criptomonedas.

Una serie de sistemas y protocolos que ya merecieron la atención, en el caso de la actividad financiera, del Foro Económico Mundial en su informe 'The Next Generation of Data-Sharing in Financial Services: Using Privacy Enhancing Techniques to Unlock New Value'… un valor, sin duda, estratégico que se enfrenta a problemas como la calidad del dato, la adecuación entre sistemas antiguos y nuevos, la dificultad de hacer 'match' con bases previas, e, incluso, los problemas de la existencia de distintos estándares normativos en distintos lugares del mundo.

Un ecosistema de protección de información sobre el que Estrella Arana, abogada y consultora en Protección de Datos de PONS IP, destaca «las técnicas de criptografía avanzada que permiten analizar la información en el momento de su obtención y eliminar, a través de algoritmos de inteligencia artificial, los datos personales. En los últimos meses, hemos visto el lanzamiento de aplicaciones de generación automática de imágenes como Dall-E, o de textos como Bloom, en los que es necesario implementar este tipo de tecnologías para eliminar determinada información de los contenidos generados automáticamente». Un recorrido que, como destaca la especialista, no es nuevo: «Es un concepto antiguo desarrollado casi con el nacimiento de internet hace más de 30 años en las universidades de California».

Arana señala, además, la importancia de la colaboración tecnológica y normativa en el ámbito europeo: «Europa, que está perdiendo la batalla del desarrollo de tecnologías como la propia inteligencia artificial, es una referencia a la hora de regular modelos de convivencia que preserven principios fundamentales como la privacidad, a la vez que facilitan nuevos modelos de negocio basados en los datos». Y destaca los avances surgidos a raíz del Reglamento sobre Protección de Datos y los previstos por la futura Ley de Inteligencia Artificial en torno a los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas: «Europa busca la concienciación de las empresas y el desarrollo (y posterior implementación) de sistemas de IA sin perder de vista las normas éticas. Su aplicación a través de las PET es otra oportunidad de liderar estos avances. Para ello, ingenieros y abogados europeos tienen que trabajar en colaboración».

En todo caso, y como concluye Aznar, la función de organismos internacionales como el Information Commissioner's Officer (ICO) o la Agencia de Ciberseguridad de la Unión Europea (Enisa), es fundamental para «proveer de herramientas que permitan realizar la evaluación de idoneidad de las PET. Es necesaria antes de implementar y ponerlas en uso en una organización, para un mejor y más ágil despliegue de sus programas de privacidad, para trabajar alineados a su riesgo y a las necesidades de sus negocios, y no tanto por un mero cumplimiento regulatorio».