Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

184 REVISTA AUDITORÍA PÚBLICA / 81 El análisismasivodedatos ha permitidoobtener informaciones en tiempo real, o casi real, a partir de fuentes de información y conjuntos de datos repartidos por todo el mundo. Existen plataformas software específicas para extraer, cargar y transformar (se emplean las siglas ELT o Extract, Load and Transform frente al acrónimo ETL de los cuadros de mando) de distintos orígenes y explotar esa información. Todo ello choca con la protección jurídica de los datos personales de los ciudadanos 5 . Por tanto, en el diseño de los tratamientos de Big Data hay que tener en cuenta de forma objetiva qué cantidad de datos es necesaria y suficiente con relación al objetivo del tratamiento, ajustarse al principio de minimización de datos y no adoptar estrategias maximalistas en las que, sin haber establecido criterios de selección previos, se recurre a recoger la máxima cantidad posible de datos 6 . Este problema se puede ver acentuado en el caso de recopilación masiva de datos soportada por sensores en contextos de tratamiento como los realizados en las Smart Cities . Esta tecnología permite el perfilado o el enriquecimiento de perfiles de personas, tratamiento que precisa de una legitimación y debe cumplir unos requisitos y condiciones 7 , entre ellas las relativas a las decisiones individuales automatizadas, y en su caso, la realización de una evaluación de impacto para la protección de datos y si procede, la consulta previa a la Autoridad de Control 8 . II.1 Limites y control del tratamiento masivo de datos personales Las AAPP liberan muchos datos en formatos sencillos dentro de las iniciativas de datos abiertos 9 . Estas iniciativas consideran la apertura de datos como una forma de transparencia y pretenden hacer accesibles y reutilizables los datos referentes a población, transporte, entorno, salud, energía, territorio, educación, etc., que las AA.PP . tienen almacenados en sus sistemas. El propósito es facilitar información a los ciudadanos en un ejercicio de transparencia que ayude a generar mayor confianza en el organismo, y también al sector empresarial para que integre estos datos en sus sistemas y los aproveche en sus propios procesos, contribuyendo así al fomento de la economía y la innovación 10 . En este sentido, las Administraciones con capacidad para analizar esos grandes conjuntos de datos han desarrollado equipos y están cruzando diferentes fuentes de información para extraer conocimiento y aplicar el análisis masivo de datos en diferentes sectores y escenarios como el sanitario, el turístico, la investigación, el desarrollo sostenible, la seguridad o la lucha contra el fraude. Sin embargo, no debe perderse de vista que este análisis masivo puede tener consecuencias negativas desde el punto de vista ético, de la privacidad y, en particular jurídico, en la protección de datos, si se hace un mal uso de la información obtenida. Ya hemos avanzado que en todo tratamiento, se ha de cumplir el principio de licitud, lealtad y limitación del tratamiento 11 . En el caso de los tratamientos basados en Big Data , por su propia naturaleza, parece fácil que se den situaciones en las que la finalidad inicial del tratamiento se vea desvirtuada cuando el dato es explotado con finalidades secundarias. La normativa de protección de datos no impide que los datos personales puedan reutilizarse para finalidades diferentes para las que fueron recogidos, si no que éstas no deben ser incompatibles con las iniciales. Por lo tanto, para su reutilización en nuevos proyectos, resulta clave realizar un análisis de los límites y control de compatibilidad. A tal fin, se debe tenerse en cuenta las siguientes consideraciones recogidas en el artículo 6.4 y el Considerando 50 del RGPD: ¡ Relación entre la finalidad inicial del tratamiento y otras finalidades posteriores. ¡ Los tratamientos posteriores se encuentren dentro de las expectativas razonables de los interesados. 5. Artículo 6 del RGPD – Licitud del tratamiento y Artículo 9 del RGPD – Tratamiento de categorías especiales de datos personales. En este sentido, hay que asegurarse que existe una legitimación y, en el caso de que se incluyan categorías especiales de datos, es necesario levantar previamente la prohibición para su tratamiento. 6. Artículo 5.1.c) del RGPD – Principios relativos al tratamiento. Principio de minimización. 7. Artículo 22 del RGPD - Decisiones individuales automatizadas, incluida la elaboración de perfiles. 8. Artículo 35 del RGPD – Evaluación de impacto relativa a la protección de datos y Artículo 36 del RGPD – Consulta previa. 9. Iniciativa de Datos Abiertos del Gobierno de Españ a https://datos.gob.es/ 10. En Europa partimos de la Directiva 2003/98/CE, de 17 de noviembre de 2003, actualizada por la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio. En España han dado lugar a la Ley 37/2007, de 16 de noviembre, de reutilización de la información del sector público, actualizada por la Ley 18/2015, de 9 de julio. 11. Artículo 5.1.a) del RGPD - Principios relativos al tratamiento. Principio de licitud, lealtad y transparencia y Artículo 5.1.b) del RGPD - Principios relativos al tratamiento. Principio de limitación de la finalidad.