El término «datos» se refiere a la información en bruto en su estado fundamental. Por otro lado, el término «big data» se utiliza habitualmente para describir conjuntos de información vastos, complejos y difíciles de estructurar. Inicialmente, este término se empleaba principalmente para denotar el tamaño voluminoso de los datos. Sin embargo, en el uso contemporáneo, ha evolucionado hasta convertirse en un concepto que abarca la totalidad de los procesos, desde el almacenamiento de datos hasta su transformación en información, retratando la magnitud de todo el espectro.
Los macrodatos se caracterizan por sus componentes fundamentales, como el aumento del volumen de datos, la naturaleza imperativa de la velocidad de los datos y su diversa procedencia. Mediante el uso adecuado de las capacidades de análisis e interpretación de datos, el big data permite a las empresas tomar decisiones acertadas, reducir costes y aumentar la calidad de los productos y servicios. En consecuencia, el big data se considera una capacidad que ofrece a la sociedad la oportunidad de impulsar la información de forma innovadora. A medida que los macrodatos se consolidan como una faceta indispensable del progreso tecnológico dentro de los marcos operativos, se abre una nueva era que obliga a gestionar con prudencia los riesgos relativos a la salvaguardia de los datos personales. Sin embargo, como se expone a continuación, la Ley nº 6698 de Protección de Datos Personales, que sustenta la jurisprudencia sobre protección de datos personales en Turquía, no tiene suficientemente en cuenta las implicaciones transformadoras que introducen los macrodatos.
I. Protección de datos personales especiales y sensibles
De conformidad con el artículo 3 de la Ley nº 6698 de Protección de Datos Personales, cualquier información relativa a una persona física identificada o identificable se considera datos personales. Además, según el artículo 6, datos como «la raza, el origen étnico, las opiniones políticas, las creencias filosóficas, la religión, la secta, el atuendo, la pertenencia a asociaciones, fundaciones o sindicatos, la salud, la vida sexual, las condenas penales y las medidas de seguridad» se designan como categorías especiales de datos personales, que engloban los datos biométricos y genéticos. Todos los datos incluidos en esta definición se benefician de la protección estipulada por la ley. Sin embargo, la utilización de grandes conjuntos de datos en el contexto de los macrodatos puede dar acceso a información personal sensible derivada de datos aparentemente ordinarios. De hecho, es posible obtener información identificable a partir de datos no personales, lo que subraya la necesidad de un enfoque meticuloso en el tratamiento de estas transformaciones de datos.
II. Principio de tratamiento de datos proporcional, limitado y relacionado con la finalidad
De conformidad con el apartado 2 del artículo 4 de la Ley de Protección de Datos de Carácter Personal, entre los principios que deben tenerse en cuenta en el tratamiento de datos de carácter personal figuran los siguientes «a) cumplimiento de la ley y de los principios de honestidad; b) exactitud y, cuando sea necesario, estar actualizados; c) tratamiento con fines determinados, claros y legítimos; d) conexión, limitación y proporcionalidad con la finalidad del tratamiento; y e) conservación durante el plazo previsto en la legislación aplicable o durante el tiempo necesario para los fines para los que se traten.» Examinando estas condiciones exigidas por la ley, se observa que la utilización de big data puede llegar a ser casi impracticable. El marco legal, que pretende minimizar la recogida y el tratamiento de datos con big data vinculándolo a fines específicos, es incongruente. En este contexto, el reto más fundamental que se plantea es la falta de previsibilidad de cada finalidad del tratamiento de datos en el momento en que se recopilan los datos y se da el consentimiento.
III. Consentimiento explícito del interesado
El primer párrafo del artículo 3 de la Ley define el consentimiento explícito como «el consentimiento basado en información relativa a un sujeto concreto y manifestado con libre voluntad». Según el Artículo 5, Párrafo 1, y el Artículo 6, Párrafo 2, se requiere el consentimiento explícito del individuo para el tratamiento de datos personales y datos personales sensibles. Además, el consentimiento explícito es obligatorio para la transferencia de datos personales. Es crucial destacar que un consentimiento casual en relación con el tratamiento de datos personales no cumple los criterios de cualificación estipulados en la ley. En el momento de revelar el consentimiento, éste debe ser específico en cuanto a la finalidad para la que el interesado presta su consentimiento. Otra condición prevista por la ley es el consentimiento basado en la toma de decisiones con conocimiento de causa. Sin embargo, en la práctica, las empresas intentan obtener el consentimiento del interesado mediante formularios de divulgación largos e intrincados, lo que entra en conflicto con las disposiciones de la ley. Por último, también se establece el requisito de que el consentimiento se dé con libre voluntad. En este marco, las disposiciones que supeditan la compra de un servicio o producto a la aprobación de la persona plantean problemas, sobre todo a la hora de garantizar que el consentimiento se da libremente.
IV. Principio de tratamiento de datos con fines determinados, explícitos y legítimos
De conformidad con el artículo 11 de la Ley, las personas tienen derecho a solicitar información al responsable del tratamiento sobre si se están tratando sus datos personales. Sin embargo, sigue siendo incierta la forma en que las personas serán informadas y podrán oponerse a los resultados adversos derivados del análisis realizado por sistemas automatizados, tal como se introduce en este artículo. Además, según las disposiciones de los artículos 13 y 14, que regulan los derechos de los interesados a dirigirse al responsable del tratamiento y a presentar reclamaciones ante la Junta, las solicitudes deben presentarse por escrito o mediante otros métodos que determine la Junta. Del examen de estas disposiciones se desprende que la normativa parte del supuesto de que los interesados son plenamente conscientes. Sin embargo, en el contexto de las aplicaciones de macrodatos, la probabilidad de que los interesados tengan tal conocimiento parece dudosa. La razón principal de la falta de adecuación de este Reglamento a las aplicaciones de macrodatos es la ausencia de comunicación interactiva entre el interesado y el responsable del tratamiento. Al mismo tiempo, el Reglamento actual sólo permite al interesado realizar solicitudes de información, privándole de la oportunidad de confirmar la información recibida.
V. Anonimización de los datos personales
Además de las normas constitucionales y legales destinadas a proteger los datos personales, existe la necesidad de implementar procesos como la destrucción, eliminación y anonimización de los datos personales al final del período máximo requerido para los fines para los que fueron procesados. El objetivo principal de la anonimización es extraer beneficios de conjuntos de datos con un potencial significativo, al tiempo que se purgan de información personal. Aunque la anonimización es lo suficientemente significativa como para justificar una regulación separada en términos de protección de datos personales, la mera anonimización de grandes conjuntos de datos no es suficiente para la protección de datos. Incluso cuando se anonimizan datos a gran escala, la identificación de las personas resulta más fácil a medida que aumenta la escala de los datos. En consecuencia, la anonimización de grandes conjuntos de datos puede, en la práctica, acarrear más perjuicios que beneficios en términos de protección de datos.
